Получение ошибки "CustomRoleARN:xxxxxx не допускается для этого токена" при переназначении роли федеративному пользователю
Я пытаюсь сделать следующее: i) Проверить пользователя через федеративную идентификацию Cognito (сопоставленную с CognitoPool). Роль R1 назначается как часть этого процесса. ii) Желание назначить новую роль R2 этому токену. При назначении роли R2 я получаю следующую ошибку: "CustomRoleARN: arn:aws:iam::123456789012: роль /R2 не допускается для этого токена"
Я должен идти по этому пути, потому что мне может потребоваться создать среду выполнения R2 на основе определенных условий.
R2 доверительные отношения:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/R1"
},
"Action": "sts:AssumeRole"
}
]
}
Политика, приложенная к R1 (не доверительные отношения):
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::bucket1"
]
},
{
"Action": [
"s3:*"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::bucket1/*"
]
},
{
"Effect":"Allow",
"Action":"sts:AssumeRole",
"Resource":"*"
}
]
}
Пожалуйста, дайте мне знать, что мне не хватает.
Заранее спасибо за поиск.
1 ответ
У меня мозг умер. В таком случае нужно вызвать sts.GetFederationToken(). Моим требованием было назначить другую Политику для уже подтвержденного федеративного пользователя.
Я пытался вызвать cognito.getCredentialsForIdentity() для уже подтвержденного пользователя. Я смешивал 2 решения. Вот почему я получаю ошибку
Спасибо