0

我创建了一个新策略来强制 IAM 用户使用此链接中的策略设置 MFA https://docs.aws.amazon.com/en_pv/IAM/latest/UserGuide/reference_policies_examples_aws_my-sec-creds-self-manage.html

现在 IAM 用户已经AdministratorAccess......所以现在应用此强制 MFA 策略,现在用户附加了 2 个策略。AWS 托管策略AdministratorAccess和我创建的新托管策略Force_MFA

现在,当我尝试运行在附加策略之前通常工作的ansible iwth 模块https://docs.ansible.com/ansible/latest/modules/sts_assume_role_module.htmlForce_MFA现在我收到错误消息,提示我无法承担其他帐户的角色。当我删除该Force_MFA策略时,它会再次起作用。

问题出在哪里。这是政策问题还是ansible问题?这个Force_MFA政策没有按预期工作吗?如果启用了 MFA,它应该让我做其他事情,但在 asnible 中它没有,但在 GUI 中我可以切换角色并且它工作正常。只是那些 ansible 剧本现在失败并抱怨我无法承担角色。

请注意,我已经为这个 IAM 用户启用了 MFA,我可以在仪表板中假设和切换帐户,但是当我尝试在 ansible 中这样做时,我收到 boto 错误,说我无法承担角色

任何帮助将不胜感激。

如果您需要发布任何帮助让我知道,我会发布。

4

1 回答 1

0

根据@Zeitounator 的评论,我添加了此处所需的添加mfa_serial_number和选项mfa_tokensts_assume_role

在那之后工作

于 2019-10-14T04:55:12.653 回答