Всем привет. Есть кластер EKS с включенной опцией Secrets encryption,

там есть ключ KMS, но под рутовым аккаунтом к ключу нет доступа. Доступ к кластеру есть. Как получить доступ к ключу под рутом? Тот кто создавал этот кластер больше не работает у нас.

KMS ключ в другом аккаунте?

Не уверен точно, но скорее всего. Если в другом, то возможно этот аккаунт удален уже. Как проверить можно?

Пробовать другие роли/пользователей Не всегда у root user есть доступ к KMS ключам Посмотри какие то админские роли или CI/CD роли Может под пользователем/ролью, под которой работал прошлый товарищ

с чего бы root user не имел доступы к KMS ключам? When you first create an Amazon Web Services (AWS) account, you begin with a single sign-in identity that has complete access to all AWS services and resources in the account. This identity is called the AWS account root user and is accessed by signing in with the email address and password that you used to create the account. https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html

Такая KMS Policy вот и всё.

Есть только рут (под которым захожу) и мой IAM пользователь. От прошлого коллеги учеток не осталось. Непонятность в том - почему у рута нет доступа к каким-то сущностям, таким как KMS. Хотя ошибка и прямо на это указывает.

Такая задана KMS Policy в которой нет :root

ну и еще несколько пользователей для CI/CD и террагранта

это какие то фантазии или пример из реальной жизни?

Вот попробуй через этих CI/CD походить

контруктивно пожалуйста, пример вот он выше в чате 🙂

я не телепат чтобы не видя KMS policy делать такого рода утверждения

Ошибка: AccessDeniedException - User: arn:aws:iam::XXX:root is not authorized to perform: kms:DescribeKey on resource: arn:aws:kms:eu-north-1:XXX:key/YYY because no resource-based policy allows the kms:DescribeKey action Ошибка на экране

Эти CI/CD учетки создавал я, там я указал только пермишены и роли до того, что нужно для CI. Пока нет соображений, что еще смотреть(

Если совсем потерялись.. удалили например ту роль которая была прописана в политике ключа, то тут только через Support можно поправить 🙁 Такие ситуации тоже были

Так с эмулируй полиси

Попробуй через CloudTrail поискать в прошлом кто правил политики этих ключей Это даст больше информации

а я например могу с такой же уверенностью утверждать что это может быть SCP хитрый. пока внутри полиси не сидим ни о чем не говорит

Вот это печаль) Печаль в том, что они сказали уже - у вас пока техсапорт не входит в план)

Обычный саппорт тоже можно допинать 🙂 Дольше просто Но начни с CloudTrail и поискать кто User|Role правил политики Тогда будет о чем разговоры вести

Вы про то, чтобы сделать пользователя с тем же арном, которую удалили?

Я про то что взять политику и воспользоваться эмулятором посмотреть что происходит и как уже говорили клаудтрейл