KMS 고객 관리형 키 삭제를 위한 정책 문의
안녕하세요 삭제 예약을 콘솔을 통해서 하려고 하는데, 예약이 되지않아서 문의 드립니다. 현재 설정된 정책 json 공유드립니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KeyAdministration", "Effect": "Allow", "Principal": { "AWS": "AIDAXEMKXSOFI64IFHHTJ" }, "Action": [ "kms:Update*", "kms:UntagResource", "kms:TagResource", "kms:ScheduleKeyDeletion", "kms:Revoke*", "kms:ReplicateKey", "kms:Put*", "kms:List*", "kms:ImportKeyMaterial", "kms:Get*", "kms:Enable*", "kms:Disable*", "kms:Describe*", "kms:Delete*", "kms:Create*", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "KeyUsage", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::490454094730:role/hairpin-cluster-20240103005831458100000002" }, "Action": [ "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "aws-case-id-170593908401060", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::490454094730:user/kms_key_recovery_fce59b3f-ec20-4e51-ae28-1b81b0b3dbd7" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:PutKeyPolicy" ], "Resource": "*" } ] }
- Neueste
- Die meisten Stimmen
- Die meisten Kommentare
안녕하세요.
KMS 키의 키 정책을 다음과 같이 변경해 보세요.
아마도 사용하고 계신 IAM 사용자에게 KMS 키 정책에서 삭제가 허용되어 있지 않아서 오류가 발생하는 것으로 생각됩니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "KeyAdministration",
"Effect": "Allow",
"Principal": {
"AWS": "AIDAXEMKXSOFI64IFHHTJ"
},
"Action": [
"kms:Update*",
"kms:UntagResource",
"kms:TagResource",
"kms:ScheduleKeyDeletion",
"kms:Revoke*",
"kms:ReplicateKey",
"kms:Put*",
"kms:List*",
"kms:ImportKeyMaterial",
"kms:Get*",
"kms:Enable*",
"kms:Disable*",
"kms:Describe*",
"kms:Delete*",
"kms:Create*",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "KeyUsage",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::490454094730:role/hairpin-cluster-20240103005831458100000002"
},
"Action": [
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "aws-case-id-170593908401060",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::490454094730:user/kms_key_recovery_fce59b3f-ec20-4e51-ae28-1b81b0b3dbd7"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:PutKeyPolicy",
"kms:Delete*"
],
"Resource": "*"
}
]
}
키 정책의 조작 자체가 불가능한 경우는 아래 문서의 절차에 따라 AWS 계정에 루트 사용자로서 로그인하여 KMS 키를 삭제해 보세요.
https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html
Relevanter Inhalt
AWS OFFICIALAktualisiert vor 3 Jahren- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr
루트 사용자로는 키 정책 자체 접근도 불가능해서 삭제 예약도 안되고, 알려주신 정책을 편집으로 넣으려고 하니까 그것또한 제한 되고있습니다. 추가 과징을 안받으려면 그냥 루트 계정을 탈퇴시는게 맞을까요?
이 경우 아래 문서에 설명된 대로 AWS Support에 "계정 및 결제 지원 사례"에서 케이스를 열고 문의하십시오. https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/key-policy-default.html