如何對根使用者或管理員使用者存取遭拒的問題進行疑難排解?

上次更新日期︰2022 年 4 月 4 日

我在已新增有管理員許可的根使用者或 AWS Identity and Access Management (IAM) 實體上收到了存取遭拒錯誤。如何進行疑難排解並解決存取遭拒的問題?

簡短描述

有很多原因可能會導致您在新增有管理員許可的根使用者或 IAM 實體上收到存取遭拒錯誤。這包括:

  • 服務控制政策 (SCP) 限制您對服務的存取
  • 資源型政策限制您對資源的存取
  • 許可邊界限制您的實體可以執行的動作
  • 工作階段政策已就緒並導致授權問題
  • VPC 端點政策正在限制對您的 IAM 實體的存取

根據您的使用案例和您收到的錯誤,使用以下疑難排解步驟。

解決方案

解決根使用者的授權問題

儘管您無法使用 IAM 政策限制根使用者的許可,但您可以使用服務控制政策 (SCP) 限制 AWS Organizations 成員帳戶中的根使用者。使用您組織的管理帳戶檢查來自 SCP 的限制。

此範例顯示拒絕根使用者存取 Amazon Simple Storage Service (Amazon S3) 的服務控制政策。其藉由使用 aws:PrincipleArn 條件索引鍵和與根 ARN 匹配且格式為 arn:aws:iam::<<accountIAD>:root 的值來完成此操作。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

解決已指派管理員許可的 IAM 實體的授權問題

雖然 IAM 實體可能已具有授予管理員層級存取的政策,但其也可能受到其他政策類型的限制。如需詳細資訊,請參閲存取遭拒錯誤訊息疑難排解政策類型。使用以下指導方針了解可能限制您 IAM 實體存取的政策:

  • 組織 SCP 可能限制對成員帳戶 IAM 實體的存取。使用組織的管理帳戶檢查來自 SCP 的限制。
  • 資源型政策可能限制 IAM 實體對資源的存取。資源型政策的一個範例是 Simple Storage Service (Amazon S3) 儲存貯體政策。若要追蹤服務的支援資源型政策,請參閱可搭配 IAM 運作的 AWS 服務
  • 許可邊界定義身分型政策可授予實體的最大許可。如果使用許可邊界,則該實體只能執行身分型政策及其許可邊界允許的動作。使用 IAM 主控台檢查使用者或角色是否具有已指派的的許可邊界。
  • 當您為聯合身分使用者的 IAM 角色建立臨時工作階段時,可以以程式設計的方式傳遞工作階段政策。工作階段的許可位於指派給為其建立工作階段之 IAM 實體的身分型政策與工作階段政策本身的相交處。使用 AWS CloudTrail 日誌的 AssumeRole/AssumeRoleWithSAML/AssumeRoleWithWebIdentity API 呼叫來檢查是否為您的 IAM 角色工作階段傳遞了工作階段政策。若要檢查為聯合身分使用者工作階段傳遞的工作階段政策,請檢查 CloudTrail 日誌中的 GetFederationToken API 呼叫。如需每個這些 API 呼叫的詳細資訊,請參閲動作
  • VPC 端點政策為資源型政策,您可以將其連接到 VPC 端點。其可能限制對 IAM 實體的存取。如果您經由 VPC 端點路由請求,請檢查是否有任何來自相關聯 VPC 端點政策的限制。如需詳細資訊,請參閲使用 VPC 端點政策

解決 Simple Storage Service (Amazon S3) 資源的存取遭拒錯誤訊息

如需對 Simple Storage Service (Amazon S3) 資源的存取遭拒錯誤訊息進行疑難排解的詳細資訊,請參閲如何對來自 Simple Storage Service (Amazon S3) 的「403 存取遭拒」錯誤進行疑難排解?

解決存取 AWS 帳單與成本管理主控台時的授權問題

具有管理員許可的 IAM 實體在嘗試存取帳單與成本管理主控台時,有時會遇到授權問題。啟用 IAM 使用者/角色對帳單與管理主控台的存取,詳見 IAM 教學課程:委派對帳單主控台的存取步驟 1。如果未完成此步驟並新增必要的 IAM 許可,IAM 實體將無法存取此資料。

若要解決任何相關的授權問題,請檢查您的 IAM 實體是否以根使用者的身分啟用。