2

在启用对 AWS 控制台的自定义身份代理访问 - AWS 身份和访问管理之后,我正在努力生成一个 AWS 控制台 URL 。

我成功创建了 AWS SSO 和角色。然后,我创建了一个附加了管理员策略的管理员 IAM 账户。在管理员 IAM 用户中,我尝试了:

aws sts assume-role --role-arn arn:aws:iam::123456789:role/rolename --role-session-name "AssumeRoleSession"

错误消息说:

调用 AssumeRole 操作时发生错误 (AccessDenied):用户:arn:aws:iam::123456789:user/admin is not authorized to perform: sts:AssumeRole on resource:arn:aws:iam::123456789:role/rolename

IAM 用户具有如下所示的 AdministratorAccess 策略。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

角色和 IAM 管理员用户在同一个账户下。上述手册页未指定前提条件。你能看出缺少什么吗?我尝试编辑受信任的关系,但失败并出现错误:

发生错误:无法对受保护角色“AWSReservedSSO_ROLENAME”执行操作 - 此角色只能由 AWS 修改。

4

1 回答 1

0

就我而言,我最终创建了一个具有所需权限的新策略,将其附加到一个新角色,然后编辑了信任策略以缩小访问范围。

如果您必须使用现有的策略和角色,您可以检查服务控制策略是否不会阻止角色允许的内容。

SCP 和 IAM 策略权限重叠的 ven 图

于 2021-11-04T16:42:51.540 回答