Amazon web services 具有管理员权限的IAM用户能够使用一个密钥加密EBS卷,该密钥未将此用户添加为其密钥策略中的密钥用户
我有两个IAM用户(A和B),都具有管理员访问权限。以“A”登录后,我在KMS中创建了一个CMK,并仅将“A”指定为“密钥管理员”和“密钥用户”。但是,当我以“B”身份登录并尝试使用“A”创建的CMK创建加密卷时,我仍然能够继续并创建卷。我甚至可以在以“B”身份登录时禁用密钥Amazon web services 具有管理员权限的IAM用户能够使用一个密钥加密EBS卷,该密钥未将此用户添加为其密钥策略中的密钥用户,amazon-web-services,amazon-iam,aws-kms,aws-ebs,Amazon Web Services,Amazon Iam,Aws Kms,Aws Ebs,我有两个IAM用户(A和B),都具有管理员访问权限。以“A”登录后,我在KMS中创建了一个CMK,并仅将“A”指定为“密钥管理员”和“密钥用户”。但是,当我以“B”身份登录并尝试使用“A”创建的CMK创建加密卷时,我仍然能够继续并创建卷。我甚至可以在以“B”身份登录时禁用密钥 当“B”未添加为密钥策略中的密钥用户时,它如何仍然能够使用该密钥对卷执行加密?我是否遗漏了任何概念?您是否检查了音量是否最终创建且正常/工作正常 根据: AWS异步验证CMK。因此,如果指定的ID、别名或ARN无效,则操作
当“B”未添加为密钥策略中的密钥用户时,它如何仍然能够使用该密钥对卷执行加密?我是否遗漏了任何概念?您是否检查了音量是否最终创建且正常/工作正常 根据: AWS异步验证CMK。因此,如果指定的ID、别名或ARN无效,则操作可能看起来已完成,但最终会失败
还要检查kms密钥策略权限,并查看授予的所有访问权限 谢谢你,普拉尚特。您是否检查了卷是否最终创建且正常/工作正常是的,音量是健康的。另外,请检查kms密钥策略权限,并查看授予的所有访问权限-密钥策略权限仅允许用户A。我仍然想知道这可能是因为A和B都有访问IAM策略,尽管aws文档对此没有任何说明。