Проблему то будем решать с ключиками ?:) Мне интересно что там

на этот раз.
Ставлю на то что был Permission Set который создает IAM Role в дочернем аккаунте. Через него все ходили смотрели на ключи.
Чел уволился и права у него отозвали и Permission Set и IAM Role удалилось следом
Всё ключики теперь не управляемые
Но использовать их дает 🙂 Поэтому всё вроде работать должно

15 ответов

64 просмотра

полиси с доступом от рута дефолтная, то есть прибить доступ руту в полиси можно только в явном виде (удалив эту часть)

Vladimir-Samoylov Автор вопроса
Gunslinger
полиси с доступом от рута дефолтная, то есть приби...

удаляют удаляют.. Если ключи не в отдельном аккаунте, то надо удалять рута , но надо и оставлять обходные варианты для вот этих случаев

Vladimir Samoylov
удаляют удаляют.. Если ключи не в отдельном аккаун...

я категорически против удаления рутовых прав любыми средствами кроме как SCP нет никакого смысла отрубать себе руки хотите играться в секурность юзайте организации и SCP

Vladimir-Samoylov Автор вопроса
Gunslinger
я категорически против удаления рутовых прав любым...

да SCP конечно же лучше и причем открубывает там где нельзя это врубить назад но вот встречалось вот такое

Vladimir Samoylov
да SCP конечно же лучше и причем открубывает там г...

если у нас 1 аккаунт то отрубать доступ рута - суицид если у нас несколько аккаунтов - делается организация и все права через SCP

Буду смотреть. Если смотреть не получится, будем через саппорт решать)

Написал в саппорт. Сначала хотели отвертеться и сказать что у тебя «план не банан», т.е. не включает техсаппорт, только биллинг (привет продавцам за 50$). На том конце провода оказался сговорчивый чувак, я пообещал перейти на трехлетний prepaid за 100к и тогда он сказал, что передаст мой вопрос технической команде. Жду когда свяжутся. По опыту предыдущих общений, они всегда выходят на обратную связь.

Vladimir-Samoylov Автор вопроса
Pavel
Написал в саппорт. Сначала хотели отвертеться и ск...

Будут спрашивать потом про то кто менял политику и когда И еще что в коде IaC написано Если как то найдешь политику которая там стоит сейчас, то это поможет

Vladimir Samoylov
Будут спрашивать потом про то кто менял политику и...

Учетка, под которой применялся iac тераформом была удалена после ухода сотрудника

Vladimir-Samoylov Автор вопроса
Pavel
Учетка, под которой применялся iac тераформом была...

А сама политика ключа в коде осталась ? Саппорт может использовать это и сравнить с тем что там сейчас И ускорить восстановление доступа

Vladimir Samoylov
А сама политика ключа в коде осталась ? Саппорт м...

Это не особо искал, не понятно пока чем поможет, в политике просто спиок пермишнов и арн учетки

Vladimir-Samoylov Автор вопроса
Pavel
Это не особо искал, не понятно пока чем поможет, в...

Доказательство владения или как то так Вообщем в моем прошлом случае это спросили :) поэтому можешь вперед отправить Может сократит время

Vladimir Samoylov
Доказательство владения или как то так Вообщем в ...

Им не достаточно рутового статуса моей текущей учетки?)

Vladimir-Samoylov Автор вопроса
Pavel
Им не достаточно рутового статуса моей текущей уче...

Ну вот что было то рассказываю :) Я им обычно туда отправляю сразу все что есть Типа вот это у нас мы делаем Вот это сделали что бы больше так не было в будущем

Проблему с проёбанным доступом к KMS ключу получилось успешно решить через техсаппорт AWS, находясь при этом на тарифе без техсаппорта. Спустя непродолжительные уговоры из серии: «ну мы хотим донастроить кластер, чтобы подготовить инфру к тому, чтобы потом авансом внести 100 лярдов», они согласились включить для моего тикета техсаппорт, отправили инструкцию со сценарием действий, позвонил вежливый индус в 6 утра (хотя просил звонить прсле 6 по utc), и спустя 3 дня ожиданий я получил доступ к ключу. Вуаля бля🤘

Похожие вопросы

Обсуждают сегодня

Ребята, всем привет. Подскажите, пожалуйста, можно ли как-то через бота понять, что этого бота добавили в группу\канал и выдали ему права администратора?
Artem Stormageddon
9
Это переведённый текст с английского. Я не говорю на русском, но могу использовать переводчик Телеграм. Приветствую! Я начинающий веб-разработчик и все еще учусь. В настояще...
𐩱𐩪𐩣𐩱𐩲𐩺𐩡
2
А не хотим ли мы развлечься? 😉 Но так чтобы с пользой для наших профессиональных навыков?? 👨‍🎓👩‍🎓 Предлагаю на октябрь запланировать тестовый запуск новой командной игры "Игр...
Andrii Kurdiumov
2
Привет всем! Почему этот код не срабатывает при добавлении или удалении пользователя из чата? bot.on('chat_member', async (ctx) => { console.log(ctx); }) bot.launch({allo...
Alexander
5
у кого сколько оперативы на базе данных ?
АДИЛЬБЕК
4
Через бот апи возможно получить ID стикерпака? Не ссылку.
Vexylon [АФК до 09.09]
5
Привет Хочу сделать аналог iCloud’а для своих проектов, чтобы пользовательская информация хранилась в облаке, была доступна во всех сервисах, её можно было подсасывать везде)...
Виталий
9
В тг можно спарсить всех кто пишет в группе? Если список участников скрыт
S
3
код Event::listen('cms.page.display', function (&$content, $slug, $page, $html) { if (is_object($content)) { dump($content); } else { dump($s...
Point 111
3
Доброе утро, мультиязычные сайты делал кто-нибудь? Какие подводные камни? Нужно чего нибудь допом ставить? Как поступить? В теории сделать две папки ru en и туда кидать страни...
Racoon Mitya
2
Карта сайта