Пользователь IAM с правами администратора, способный зашифровать том EBS с помощью ключа, для которого этот пользователь не добавлен в качестве ключевого пользователя в своей политике ключей

Question

У меня есть 2 пользователя IAM (A & B), оба из которых имеют права администратора. После входа в систему как «A» я создаю CMK в KMS и указываю только «A» в качестве «Администратора ключей» и «Пользователь ключа». Однако, когда я вхожу в систему как «B» и пытаюсь создать зашифрованный том с помощью CMK, созданного «A», я все еще могу go вперед и получить созданный том. Мне даже разрешено отключать ключ при входе в систему как «B».

Как это возможно, что, когда «B» не добавлен в качестве ключевого пользователя в Политике ключей, он все еще может выполнять шифрование громкость с помощью ключа? Я что-то здесь пропускаю?

Answer 1

Вы проверили, если объем в конечном итоге создан и исправен / работает нормально?

Согласно https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html:

AWS выполняет аутентификацию CMK асинхронно. Поэтому, если вы укажете недопустимый идентификатор, псевдоним или ARN, может показаться, что действие завершено, но в конечном итоге завершается неудачей.

Также проверьте разрешения политики ключа kms и посмотрите, какие разрешения предоставлены.