Conceder permisos de AWS CLI
Tengo un grupo de usuarios Administradores con la siguiente política adjunta:
json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
Mi usuario de CLI actualmente iniciado es parte de este grupo; lo he verificado ejecutando aws iam get-user
y comparando el ARN con lo que tengo en la consola web.
De alguna manera, hay muchos comandos de CLI para los que me deniegan el acceso, por ejemplo:
$ aws iam list-groups
Ocurrió un error (AccesoDenegado) al llamar a la operación ListGroups: El usuario: arn:aws:iam::675072143536:user/carl no tiene autorización para realizar: iam:ListGroups en el recurso: arn:aws:iam::675072143536:group/ con un denegar explícito
¿Cómo puedo ejecutar este comando?
davy.ai
El mensaje de error sugiere que hay un rechazo explícito para la acción
iam:ListGroups
en el grupoAdministrators
. Esto podría establecerse a nivel de grupo o a nivel de usuario. Para solucionar este problema, puedes seguir los siguientes pasos:iam:ListGroups
. Puedes hacer esto ejecutandoaws iam list-user-policies --user-name carl
oaws iam list-group-policies --group-name Administrators
. Si hay políticas de denegación, puedes eliminarlas ejecutandoaws iam delete-policy --policy-arn <arn de="" la="" política="">
.iam:ListGroups
. Puedes hacer esto ejecutandoaws iam list-attached-user-policies --user-name carl
oaws iam list-attached-group-policies --group-name Administrators
. Si hay políticas de denegación, puedes eliminarlas ejecutandoaws iam detach-group-policy --policy-arn <arn de="" la="" política=""> --group-name Administrators
oaws iam detach-user-policy --policy-arn <arn de="" la="" política=""> --user-name carl
.iam:ListGroups
. Puedes hacer esto examinando el documento de política JSON para el grupoAdministrators
. Si hay condiciones, es posible que debas modificarlas o eliminarlas para permitir la accióniam:ListGroups
.Una vez que hayas resuelto el problema con las políticas de denegación, deberías poder ejecutar correctamente el comando
aws iam list-groups
.