Почему я не могу получить доступ к списку IAM AWS, несмотря на то, что у меня есть все разрешения IAM?
Я получаю следующую ошибку при попытке доступа к панели управления IAM в aws.
User: arn:aws:iam::9490xxxxxxxx:user/xyz is not authorized to perform: iam:ListUsers on resource: arn:aws:iam::9490xsxxxxxxx:user/
Дело в том, что у меня есть IAMFullPermission политика, прикрепленная к моей учетной записи, как показано ниже:- 
Я еще не знаю, какие разрешения мне нужно предоставить.
Заранее спасибо.
1 ответ
Как прокомментировал Раджеш, вход в консоль и открытие симулятора политики позволит вам выбрать своего пользователя и разрешение iam:ListUsers и смоделировать оценку, чтобы найти точную причину сбоя.
Этот снимок экрана с прикрепленными политиками предоставит этому пользователю / роли доступ к iam:ListUsers из нескольких встроенных политик AWS, и это сообщение об ошибке говорит о том, что у пользователя нет разрешения (то есть отсутствует политика разрешения, а не явный отказ).
При определении причины ошибок IAM я пробую следующее:
- Ответ отображается в кеше? (Внесение изменений, разрешающих действие, а затем немедленная повторная попытка не всегда работает. Это можно проверить с помощью интерфейса командной строки, вызвав недопустимый API-интерфейс. Первый вызов будет несколько медленнее, чем последующие вызовы. Изменения IAM также могут потребоваться. время для размножения).
- Что говорит симулятор политики? (особенно полезно при рассмотрении более сложных политик с такими условиями, как MFA требуется или возраст MFA)
Симулятор политики сузит сценарии как:
- У пользователя фактически нет этой политики
- Пользователь является частью группы, которая имеет явную политику запрета (здесь это не так)
- Не выполняются другие условия, которые не являются очевидными. Например, MFA требовал или ограничивал ресурсы, чтобы разрешить доступ только для управления собственными данными пользователя.