我遇到了一个问题,即经过 Cognito 身份验证的用户似乎具有与 SSM 交互的正确权限,但对 SSM 的所有调用都被拒绝。这是我的政策的样子:
当然,在生产环境中,我们不会有这样的开放权限,当然也不会附加管理员策略,但这是为了测试并指出我们真的无法在这里进行身份验证。
我应该补充一点,我们可以使用 tha 策略毫无问题地访问我们的 dynamodb 资源,这只是 SSM 给我们带来了麻烦。我们收到与此类似的错误消息:
AccessDeniedException:用户:arn:aws:sts::ACCOUNTID:assumed-role/COGNITOROLE 无权执行:ssm:GetParametersByPath on resource:arn:aws:ssm:us-west-2:ACCOUNTID:parameter/
我已经替换了帐号和角色名称。有谁知道我做错了什么?提前致谢。