KMS 고객 관리형 키 삭제를 위한 정책 문의

0

안녕하세요 삭제 예약을 콘솔을 통해서 하려고 하는데, 예약이 되지않아서 문의 드립니다. 현재 설정된 정책 json 공유드립니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "KeyAdministration", "Effect": "Allow", "Principal": { "AWS": "AIDAXEMKXSOFI64IFHHTJ" }, "Action": [ "kms:Update*", "kms:UntagResource", "kms:TagResource", "kms:ScheduleKeyDeletion", "kms:Revoke*", "kms:ReplicateKey", "kms:Put*", "kms:List*", "kms:ImportKeyMaterial", "kms:Get*", "kms:Enable*", "kms:Disable*", "kms:Describe*", "kms:Delete*", "kms:Create*", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "KeyUsage", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::490454094730:role/hairpin-cluster-20240103005831458100000002" }, "Action": [ "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "aws-case-id-170593908401060", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::490454094730:user/kms_key_recovery_fce59b3f-ec20-4e51-ae28-1b81b0b3dbd7" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:PutKeyPolicy" ], "Resource": "*" } ] }

삭제 예약시 생성되는 경고문

질문됨 2달 전164회 조회
1개 답변
0

안녕하세요.

KMS 키의 키 정책을 다음과 같이 변경해 보세요.
아마도 사용하고 계신 IAM 사용자에게 KMS 키 정책에서 삭제가 허용되어 있지 않아서 오류가 발생하는 것으로 생각됩니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "AIDAXEMKXSOFI64IFHHTJ"
            },
            "Action": [
                "kms:Update*",
                "kms:UntagResource",
                "kms:TagResource",
                "kms:ScheduleKeyDeletion",
                "kms:Revoke*",
                "kms:ReplicateKey",
                "kms:Put*",
                "kms:List*",
                "kms:ImportKeyMaterial",
                "kms:Get*",
                "kms:Enable*",
                "kms:Disable*",
                "kms:Describe*",
                "kms:Delete*",
                "kms:Create*",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KeyUsage",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::490454094730:role/hairpin-cluster-20240103005831458100000002"
            },
            "Action": [
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:Encrypt",
                "kms:DescribeKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        },
        {
            "Sid": "aws-case-id-170593908401060",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::490454094730:user/kms_key_recovery_fce59b3f-ec20-4e51-ae28-1b81b0b3dbd7"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:PutKeyPolicy",
                "kms:Delete*"
            ],
            "Resource": "*"
        }
    ]
}

키 정책의 조작 자체가 불가능한 경우는 아래 문서의 절차에 따라 AWS 계정에 루트 사용자로서 로그인하여 KMS 키를 삭제해 보세요.
https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html

profile picture
전문가
답변함 2달 전
  • 루트 사용자로는 키 정책 자체 접근도 불가능해서 삭제 예약도 안되고, 알려주신 정책을 편집으로 넣으려고 하니까 그것또한 제한 되고있습니다. 추가 과징을 안받으려면 그냥 루트 계정을 탈퇴시는게 맞을까요?

  • 이 경우 아래 문서에 설명된 대로 AWS Support에 "계정 및 결제 지원 사례"에서 케이스를 열고 문의하십시오. https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/key-policy-default.html

    예를 들어 한 명의 사용자에게만 KMS 키에 대한 액세스 권한을 부여하는 키 정책을 만들었다고 가정해 보겠습니다. 그런 다음 해당 사용자를 삭제하면 키를 관리할 수 없게 되므로 AWS Support에 문의하여 KMS 키에 대한 액세스 권한을 다시 받아야 합니다.

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인