¿Cómo se resuelven los problemas de acceso denegado de un usuario raíz o de un usuario administrador?

Actualización más reciente: 04 de abril de 2022

Aparece un error de acceso denegado en el usuario raíz o en la entidad de AWS Identity and Access Management (IAM) que tiene permisos de administrador agregados. ¿Cómo se pueden solucionar los problemas de acceso denegado?

Descripción breve

Existen varias razones por las que puede aparecer un error de acceso denegado en el usuario raíz o en la entidad de IAM que tiene permisos de administrador agregados. Esto incluye:

  • Una política de control de servicios (SCP) restringe el acceso a un servicio
  • Una política basada en recursos restringe el acceso a un recurso
  • Un límite de permisos limita las acciones que la entidad puede realizar
  • Hay una política de sesión establecida que causa un problema de autorización
  • Una política de punto de conexión de VPC restringe el acceso a las entidades de IAM

Utilice los pasos de solución de problemas que se indican a continuación, en función del caso de uso y del error que aparezca.

Resolución

Resuelva los problemas de autorización de los usuarios raíz

Aunque no se pueden restringir los permisos de un usuario raíz mediante las políticas de IAM, sí es posible restringir un usuario raíz de una cuenta de miembro de AWS Organizations mediante una política de control de servicios (SCP). Compruebe si existen restricciones derivadas de una política de control de servicios que utilice la cuenta de administración de la Organización.

Este ejemplo muestra una política de control de servicios que deniega el acceso de un usuario raíz a Amazon Simple Storage Service (Amazon S3). Para ello, utiliza la clave de condición aws:PrincipleArn y un valor que coincide con el ARN raíz en el formato arn:aws:iam::<<accountIAD>:root.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Resolver los problemas de autorización de las entidades de IAM con permisos de administrador asignados

Aunque es posible que una entidad de IAM tenga una política en vigor que conceda acceso de nivel de administrador, también es posible que esté restringido por otros tipos de políticas. Para obtener más información, consulte Solución de problemas de mensajes de error de acceso denegado y Tipos de políticas. Utilice las siguientes directrices para entender las políticas que podrían restringir el acceso de la entidad de IAM:

  • Una política de control de servicios de organización puede restringir el acceso a las entidades de IAM de las cuentas miembro. Compruebe si hay restricciones derivadas de una política de control de servicios que utilice la cuenta de administración de la Organización.
  • Las políticas basadas en recursos pueden restringir el acceso de una entidad de IAM a los recursos. Un ejemplo de política basada en recursos es una política de bucket de Amazon S3. Para realizar un seguimiento de las políticas basadas en recursos de soporte de un servicio, consulte Servicios de AWS que funcionan con IAM.
  • Un límite de permiso define los permisos máximos que una política basada en la identidad puede conceder a una entidad. Si se utiliza un límite de permisos, la entidad únicamente puede realizar acciones que se permitan tanto en la política basada en la identidad como en el límite de permisos. Compruebe si el usuario o rol tiene un límite de permisos asignado mediante la consola de IAM.
  • Las políticas de sesión se pueden transferir mediante programación cuando se crea una sesión temporal para el rol de IAM de un usuario federado. Los permisos para una sesión se encuentran en la intersección de las políticas basadas en la identidad asignadas a la entidad de IAM para la que se crea la sesión y la propia política de sesión. Compruebe si se transfiere una política de sesión para la sesión del rol de IAM mediante los registros de AWS CloudTrail para las llamadas a la API AssumeRole/AssumeRoleWithSAML/AssumeRoleWithWebIdentity. Para comprobar las políticas de sesión transferidas para una sesión de usuario federado, verifique los registros de CloudTrail para las llamadas a la API GetFederationToken. Para obtener más información sobre cada una de estas llamadas a la API, consulte Acciones.
  • Una política de punto de conexión de VPC es una política basada en recursos que puede asociar a un punto de conexión de VPC. Puede restringir el acceso a las entidades de IAM. Si dirige las solicitudes a través de un punto de conexión de VPC, compruebe si hay alguna restricción procedente de la política del punto de conexión de VPC asociada. Para obtener más información, consulte Utilizar las políticas de punto de conexión de VPC.

Resolver los mensajes de error de acceso denegado para los recursos de Amazon S3

Para obtener más información sobre cómo solucionar los mensajes de error de acceso denegado de los recursos de Amazon S3, consulte ¿Cómo se resuelven los errores de acceso denegado 403 de Amazon S3?

Resolver los problemas de autorización al acceder a la consola de administración de costos y facturación de AWS

Las entidades de IAM con permisos de administrador a veces experimentan problemas de autorización cuando intentan acceder a la consola de administración de costos y facturación. Active el acceso del usuario/rol de IAM a la consola de administración y facturación, como se detalla en el paso uno del Tutorial de IAM: delegar el acceso a la consola de facturación. La entidad de IAM no puede obtener acceso a estos datos sin completar este paso, además de agregar los permisos de IAM necesarios.

Para resolver cualquier problema de autorización relacionado, compruebe si la entidad de IAM se activó como usuario raíz.