Многие команды aws sso-admin не работают с ошибкой 403
Несмотря на то, что у меня есть полный доступ к AWS и я могу создавать что-то в консоли AWS SSO, следующая команда CLI не работает:
aws sso-admin create-account-assignment
--instance-arn="arn:aws:sso:::instance/ssoins-xxx"
--target-id="xyz"
--target-type="AWS_ACCOUNT"
--permission-set-arn="arn:aws:sso:::permissionSet/ssoins-xxx/ps-qwe"
--principal-type="GROUP"
--principal-id="99672ae6a4-5d62c75e-a849-43a5-bd11-87b2f0c6fdf4"
Для
FailureReason при описании запроса я получаю:
Получена ошибка статуса 403: Пользователь: arn: aws:iam :: xyz: пользователь / ivan.aracki.com не авторизован для выполнения: sso: CreateAccountAssignment на ресурсе: arn: aws: sso ::: account / xyz с явным отказываться от
2 ответа
Кажется, в нашем случае это произошло потому, что мой Пользователь был частью
ForceMFAгруппа, которая отклоняла этот запрос. По какой-то причине он не отклоняет вызовы ec2, s3 или других API. Видимо sso-admin API настроен иначе.
было следовать этому Решениемруководству AWS Authenticate-mfa-cli и экспортировать переменные, возвращаемые в этом вызове:
aws sts get-session-token
--serial-number arn-of-the-mfa-device
--token-code code-from-token
В моем случае была та же ошибка, но мне пришлось указать регион:
aws sso-admin create-account-assignment \
--instance-arn "$SSO_INSTANCE_ARN" \
--target-id "$AWS_INFRA_ACCOUNT_ID" \
--target-type "AWS_ACCOUNT" \
--principal-type "GROUP" \
--principal-id "$SSO_GROUP_ID" \
--permission-set-arn "$SSO_PERMISSION_SET_ADMIN_ARN" \
--region eu-west-3 \
--no-cli-pager