Почему я не могу получить доступ к списку AWS IAM, несмотря на наличие всех разрешений IAM?

Я получаю следующую ошибку, когда пытаюсь получить доступ к панели инструментов IAM на aws.

User: arn:aws:iam::9490xxxxxxxx:user/xyz is not authorized to perform: iam:ListUsers on resource: arn:aws:iam::9490xsxxxxxxx:user/

Дело в том, что к моей учетной записи привязана IAMFullPermission политика, как показано ниже:-введите здесь описание изображения

Я не знаю, еще какие разрешения мне нужно предоставить.

Заранее спасибо.


amazon-web-services amazon-iam aws-iam
person Mangu Singh Rajpurohit    schedule 12.08.2018    source источник
comment
Вы уверены, что политика называется IAMFullPermission? Потому что нет определенной политики AWS с таким именем. Возможно ли, что эта политика является пользовательской?   -  person Praveen Premaratne    schedule 12.08.2018
comment
извините, это IAMFullAccess, как показано на скриншоте   -  person Mangu Singh Rajpurohit    schedule 12.08.2018
comment
Я проверил политику, и она отлично работает для меня. Можете ли вы проверить это, создав фиктивного пользователя и прикрепив только эту политику? У меня есть ощущение, что одна из других политик может блокировать работу политики.   -  person Praveen Premaratne    schedule 12.08.2018
comment
Одна из возможных вещей, которую можно попробовать, — развернуть IAMFullAccess, а затем вы должны увидеть политику имитации, которую вы можете щелкнуть и попробовать, чтобы увидеть, есть ли у вас доступ к методу ListUsers, использующему эту политику.   -  person Rajesh    schedule 13.08.2018

Ответы (1)


arrow_upward
0
arrow_downward

Как прокомментировал Раджеш, вход в консоль и открытие симулятора политики позволит вам выбрать своего пользователя и разрешение iam:ListUsers и смоделировать оценку, чтобы найти точную причину сбоя.

https://policysim.aws.amazon.com/home/index.jsp?#users

Этот снимок экрана с прикрепленными политиками предоставит этому пользователю/роли доступ к iam:ListUsers из нескольких встроенных политик AWS, и это сообщение об ошибке предполагает, что у пользователя нет разрешения (т. е. отсутствует политика разрешения, а не явный отказ).

При определении причины ошибок IAM я пытаюсь сделать следующее:

  1. Отображается ли ответ в кэше? (Внесение изменений для разрешения действия и последующая повторная попытка не всегда работают. Вы можете проверить это с помощью интерфейса командной строки, вызвав запрещенный API. Первый вызов будет немного медленнее, чем последующие вызовы. Изменения IAM также могут занять некоторое время. время для распространения).
  2. Что говорит симулятор политики? (особенно полезно при рассмотрении более сложных политик с такими условиями, как требование MFA или возраст MFA)

Симулятор политики сузит круг сценариев, таких как:

  1. На самом деле у пользователя нет этой политики
  2. Пользователь является частью группы с явной политикой отказа (здесь это не похоже)
  3. Не выполняются другие условия, которые не очевидны сразу. Например. Требуется MFA или ограничения ресурсов, чтобы разрешить доступ только для управления собственными данными пользователя.
person JimmyL    schedule 26.09.2018