Проблему то будем решать с ключиками ?:) Мне интересно что там

на этот раз.
Ставлю на то что был Permission Set который создает IAM Role в дочернем аккаунте. Через него все ходили смотрели на ключи.
Чел уволился и права у него отозвали и Permission Set и IAM Role удалилось следом
Всё ключики теперь не управляемые
Но использовать их дает 🙂 Поэтому всё вроде работать должно

полиси с доступом от рута дефолтная, то есть прибить доступ руту в полиси можно только в явном виде (удалив эту часть)

удаляют удаляют.. Если ключи не в отдельном аккаунте, то надо удалять рута , но надо и оставлять обходные варианты для вот этих случаев

я категорически против удаления рутовых прав любыми средствами кроме как SCP нет никакого смысла отрубать себе руки хотите играться в секурность юзайте организации и SCP

да SCP конечно же лучше и причем открубывает там где нельзя это врубить назад но вот встречалось вот такое

если у нас 1 аккаунт то отрубать доступ рута - суицид если у нас несколько аккаунтов - делается организация и все права через SCP

Буду смотреть. Если смотреть не получится, будем через саппорт решать)

Написал в саппорт. Сначала хотели отвертеться и сказать что у тебя «план не банан», т.е. не включает техсаппорт, только биллинг (привет продавцам за 50$). На том конце провода оказался сговорчивый чувак, я пообещал перейти на трехлетний prepaid за 100к и тогда он сказал, что передаст мой вопрос технической команде. Жду когда свяжутся. По опыту предыдущих общений, они всегда выходят на обратную связь.

Будут спрашивать потом про то кто менял политику и когда И еще что в коде IaC написано Если как то найдешь политику которая там стоит сейчас, то это поможет

Учетка, под которой применялся iac тераформом была удалена после ухода сотрудника

А сама политика ключа в коде осталась ? Саппорт может использовать это и сравнить с тем что там сейчас И ускорить восстановление доступа

Это не особо искал, не понятно пока чем поможет, в политике просто спиок пермишнов и арн учетки

Доказательство владения или как то так Вообщем в моем прошлом случае это спросили :) поэтому можешь вперед отправить Может сократит время

Им не достаточно рутового статуса моей текущей учетки?)

Ну вот что было то рассказываю :) Я им обычно туда отправляю сразу все что есть Типа вот это у нас мы делаем Вот это сделали что бы больше так не было в будущем

Проблему с проёбанным доступом к KMS ключу получилось успешно решить через техсаппорт AWS, находясь при этом на тарифе без техсаппорта. Спустя непродолжительные уговоры из серии: «ну мы хотим донастроить кластер, чтобы подготовить инфру к тому, чтобы потом авансом внести 100 лярдов», они согласились включить для моего тикета техсаппорт, отправили инструкцию со сценарием действий, позвонил вежливый индус в 6 утра (хотя просил звонить прсле 6 по utc), и спустя 3 дня ожиданий я получил доступ к ключу. Вуаля бля🤘