es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

Conceder permisos de AWS CLI

01 Aug, 2023 Programación

Tengo un grupo de usuarios Administradores con la siguiente política adjunta:

json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Mi usuario de CLI actualmente iniciado es parte de este grupo; lo he verificado ejecutando aws iam get-user y comparando el ARN con lo que tengo en la consola web.

De alguna manera, hay muchos comandos de CLI para los que me deniegan el acceso, por ejemplo:

$ aws iam list-groups

Ocurrió un error (AccesoDenegado) al llamar a la operación ListGroups: El usuario: arn:aws:iam::675072143536:user/carl no tiene autorización para realizar: iam:ListGroups en el recurso: arn:aws:iam::675072143536:group/ con un denegar explícito

¿Cómo puedo ejecutar este comando?

Tags:  , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    El mensaje de error sugiere que hay un rechazo explícito para la acción iam:ListGroups en el grupo Administrators. Esto podría establecerse a nivel de grupo o a nivel de usuario. Para solucionar este problema, puedes seguir los siguientes pasos:

    1. Verifica si hay políticas adicionales adjuntas al usuario o al grupo que nieguen la acción iam:ListGroups. Puedes hacer esto ejecutando aws iam list-user-policies --user-name carl o aws iam list-group-policies --group-name Administrators. Si hay políticas de denegación, puedes eliminarlas ejecutando aws iam delete-policy --policy-arn <arn de="" la="" política="">.
    2. Verifica si hay políticas administradas adjuntas al usuario o al grupo que nieguen la acción iam:ListGroups. Puedes hacer esto ejecutando aws iam list-attached-user-policies --user-name carl o aws iam list-attached-group-policies --group-name Administrators. Si hay políticas de denegación, puedes eliminarlas ejecutando aws iam detach-group-policy --policy-arn <arn de="" la="" política=""> --group-name Administrators o aws iam detach-user-policy --policy-arn <arn de="" la="" política=""> --user-name carl.
    3. Si los pasos anteriores no funcionan, es posible que debas verificar si hay condiciones en la política que restrinjan la acción iam:ListGroups. Puedes hacer esto examinando el documento de política JSON para el grupo Administrators. Si hay condiciones, es posible que debas modificarlas o eliminarlas para permitir la acción iam:ListGroups.

    Una vez que hayas resuelto el problema con las políticas de denegación, deberías poder ejecutar correctamente el comando aws iam list-groups.

Comments are closed.