Come posso risolvere i problemi relativi agli errori di accesso negato per un utente root o amministratore?

Ultimo aggiornamento: 04/04/2022

Ho ricevuto un errore di accesso negato per il mio utente root o per l'entità AWS Identity and Access Management (IAM) a cui sono state aggiunte autorizzazioni di amministratore. Come posso identificare e risolvere i problemi relativi agli errori di accesso negato?

Breve descrizione

Esistono diversi motivi per cui potresti aver ricevuto un errore di accesso negato per l'utente root o per l'entità IAM a cui sono state aggiunte autorizzazioni di amministratore. Alcuni esempi:

  • Una policy di controllo dei servizi (SCP) sta limitando l'accesso a un servizio
  • Una policy basata sulle risorse sta limitando l'accesso a una risorsa
  • Un limite di autorizzazioni sta limitando le azioni che l'entità può eseguire
  • È in atto una policy di sessione che sta causando un problema di autorizzazione
  • Una policy di endpoint VPC sta limitando l'accesso alle entità IAM

Utilizza i passaggi per la risoluzione dei problemi qui sotto a seconda del tuo caso d'uso e dell'errore che ricevi.

Risoluzione

Risoluzione dei problemi di autorizzazione per gli utenti root

Sebbene non sia possibile limitare le autorizzazioni di un utente root utilizzando le policy IAM, è possibile limitare un utente root da un account membro di AWS Organizations utilizzando una policy di controllo dei servizi (SCP). Verifica la presenza di restrizioni provenienti da un'SCP utilizzando l'account di gestione della tua organizzazione.

Questo esempio mostra una policy di controllo dei servizi che nega l'accesso ad Amazon Simple Storage Service (Amazon S3) per un utente root. Ciò avviene utilizzando la chiave di condizione aws:PrincipleArn e un valore che corrisponde all'ARN dell'utente root nel formato arn:aws:iam::<<accountIAD>:root.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Risoluzione dei problemi di autorizzazione per le entità IAM con autorizzazioni di amministratore

Sebbene un'entità IAM possa disporre di una policy che concede l'accesso a livello di amministratore, questa potrebbe anche essere limitata da altri tipi di policy. Per ulteriori informazioni, consulta Risoluzione dei problemi dei messaggi di errore di accesso negato e Tipi di policy. Utilizza le seguenti linee guida per comprendere le policy che potrebbero limitare l'accesso all'entità IAM:

  • Un'SCP dell'organizzazione può limitare l'accesso alle entità IAM dell'account membro. Verifica la presenza di restrizioni provenienti da un'SCP utilizzando l'account di gestione dell'organizzazione.
  • Le policy basate sulle risorse possono limitare l'accesso di un'entità IAM alle risorse. Un esempio di policy basata sulle risorse è una policy del bucket Amazon S3. Per monitorare le policy di supporto di un servizio basate sulle risorse, consulta Servizi AWS che funzionano con IAM.
  • Un limite di autorizzazione definisce il numero massimo di autorizzazioni che una policy basata sull'identità può concedere a un'entità. Se utilizzi un limite di autorizzazioni, l'entità può eseguire solo azioni consentite sia nella policy basata sull'identità che nel limite delle autorizzazioni. Controlla se l'utente o il ruolo dispone di un limite di autorizzazioni assegnato tramite la console IAM.
  • Le policy di sessione possono essere passate a livello di programmazione quando crei una sessione temporanea per il ruolo IAM per un utente federato. Le autorizzazioni per una sessione si trovano tra le policy basate sull'identità assegnate all'entità IAM per cui viene creata la sessione e la policy di sessione stessa. Controlla se viene passata una policy di sessione per la sessione di ruolo IAM utilizzando i registri di AWS CloudTrail per le chiamate API AssumeRole/AssumeRoleWithSAML/AssumeRoleWithWebIdentity. Per verificare le policy di sessione passate per una sessione utente federato, controlla i registri di CloudTrail per le chiamate API GetFederationToken. Per ulteriori informazioni su ciascuna di queste chiamate API, consulta Operazioni.
  • Una policy di endpoint VPC è una policy basata sulle risorse che può essere collegata a un endpoint VPC. Può limitare l'accesso alle entità IAM. Se instradi le richieste attraverso un endpoint VPC, verifica eventuali restrizioni provenienti dalla policy dell'endpoint VPC associata. Per ulteriori informazioni, consulta Utilizzo di policy di endpoint VPC.

Risoluzione dei messaggi di errore di accesso negato per le risorse Amazon S3

Per ulteriori informazioni sulla risoluzione dei problemi relativi ai messaggi di errore di accesso negato per le risorse Amazon S3, consulta In che modo è possibile risolvere gli errori 403 Accesso negato da Amazon S3?

Risolvi i problemi di autorizzazione durante l'accesso alla console di gestione costi e fatturazione AWS

Le entità IAM con autorizzazioni di amministratore riscontrano a volte problemi di autorizzazione quando tentano di accedere alla console di gestione costi e fatturazione. Attiva l'accesso dell'utente o del ruolo IAM alla console di gestione costi e fatturazione, come descritto nel primo passaggio del Tutorial IAM: Delega dell'accesso alla console della fatturazione. L'entità IAM non è in grado di accedere a questi dati senza aver completato questo passaggio e aggiunto le autorizzazioni IAM necessarie.

Per risolvere eventuali problemi di autorizzazione correlati, controlla se l'entità IAM è stata attivata come utente root.