我有2个IAM用户(A和B)都具有管理员访问权限。以“ A”身份登录后,我在KMS中创建一个CMK,并仅将“ A”指定为“密钥管理员”和“密钥用户”。但是,当我以“ B”身份登录并尝试使用由“ A”创建的CMK创建加密的卷时,我仍然可以继续并获取创建的卷。以“ B”身份登录时,我甚至可以禁用该密钥。
[如果在密钥策略中未将'B'添加为密钥用户,怎么可能仍然能够使用密钥对卷进行加密?我在这里错过任何概念吗?
您是否检查了是否最终创建了卷并且运行正常/工作正常?
根据https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html:
AWS异步认证CMK。因此,如果您指定的ID,别名或ARN无效,则该操作似乎已完成,但最终会失败。
还检查kms密钥策略权限,并查看所有授予的访问权限。