Wie behebe ich „Zugriff verweigert“ Probleme für einen Root-Benutzer oder einen Administrator-Benutzer?

Kurzbeschreibung

Es gibt eine Reihe von Gründen, warum Sie möglicherweise einen „Zugriff verweigert“ Fehler für Ihren Root-Benutzer oder Ihre IAM-Entität erhalten, der Administratorberechtigungen hinzugefügt wurden. Dazu zählen:

• Eine Service-Kontrollrichtlinie (SCP) beschränkt Ihren Zugriff auf einen Service
• Eine ressourcenbasierte Richtlinie beschränkt Ihren Zugriff auf eine Ressource
• Eine Berechtigungsgrenze beschränkt die Aktionen, die Ihre Entität ausführen kann
• Eine Sitzungsrichtlinie ist in Kraft und verursacht ein Autorisierungsproblem
• Eine VPC-Endpunktrichtlinie beschränkt den Zugriff auf Ihre IAM-Entitäten

Führen Sie die folgenden Schritte zur Fehlerbehebung aus, abhängig von Ihrem Anwendungsfall und dem Fehler, den Sie erhalten.

Lösung

Autorisierungsprobleme für Root-Benutzer beheben

Obwohl Sie die Berechtigungen eines Root-Benutzers nicht mithilfe von IAM-Richtlinien einschränken können, können Sie einen Root-Benutzer mithilfe einer Service-Kontrollrichtlinie (SCP) von einem AWS-Organizations-Mitgliedskonto einschränken. Suchen Sie mithilfe des Verwaltungskontos Ihrer Organisation nach Einschränkungen, die von einem SCP ausgehen.

Dieses Beispiel zeigt eine Service-Kontrollrichtlinie, die Amazon Simple Storage Service (Amazon S3) den Zugriff für einen Root-Benutzer verweigert. Dazu wird der Bedingungsschlüssel aws:PrincipleArn und ein Wert verwendet, der dem Root-ARN im Format arn:aws:iam::<<accountIAD>:root entspricht.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Autorisierungsprobleme für IAM-Entitäten mit zugewiesenen Administratorberechtigungen beheben

Während eine IAM-Entität möglicherweise über eine Richtlinie verfügt, die Zugriff auf Administratorebene gewährt, kann sie auch durch andere Arten von Richtlinien eingeschränkt sein. Weitere Informationen finden Sie unter „Zugriff verweigert“ Fehlermeldungen beheben und Richtlinientypen. Verwenden Sie die folgenden Leitfäden, um die Richtlinien zu verstehen, die den Zugriff Ihrer IAM-Entität einschränken könnten:

• Ein Organisations-SCP kann den Zugriff auf IAM-Entitäten des Mitgliedskontos einschränken. Suchen Sie mithilfe des Verwaltungskontos der Organisation nach Einschränkungen, die von der SCP ausgehen.
• Ressourcenbasierte Richtlinien können den Zugriff einer IAM-Entität auf Ressourcen einschränken. Ein Beispiel für eine ressourcenbasierte Richtlinie ist eine Amazon-S3-Bucket-Richtlinie. Informationen zum Nachverfolgen der ressourcenbasierten Support-Richtlinien finden Sie unter AWS-Services, die mit IAM funktionieren.
• Eine Berechtigungsgrenze definiert die maximalen Berechtigungen, die eine identitätsbasierte Richtlinie einer Entität erteilen kann. Wenn Sie eine Berechtigungsgrenze verwenden, kann die Entität nur Aktionen ausführen, die sowohl in der identitätsbasierten Richtlinie als auch in der Berechtigungsgrenze zulässig sind. Prüfen Sie mithilfe der IAM-Konsole, ob dem Benutzer oder der Rolle eine Berechtigungsgrenze zugewiesen wurde.
• Sitzungsrichtlinien können programmatisch übergeben werden, wenn Sie eine temporäre Sitzung für Ihre IAM-Rolle für einen Verbundbenutzer erstellen. Die Berechtigungen für eine Sitzung befinden sich im Schnittpunkt der identitätsbasierten Richtlinien, die der IAM-Entität zugewiesen sind, für die die Sitzung erstellt wurde, und der Sitzungsrichtlinie selbst. Prüfen Sie, ob eine Sitzungsrichtlinie für Ihre IAM-Rollensitzung übergeben wird, indem Sie die AWS-CloudTrail-Protokolle für AssumeRole/AssumeRoleWithSAML/AssumeRoleWithWebIdentity-API-Aufrufe verwenden. Um nach Sitzungsrichtlinien zu suchen, die für eine Verbundbenutzersitzung übergeben wurden, überprüfen Sie die CloudTrail-Protokolle auf GetFederationToken-API-Aufrufe. Weitere Informationen zu jedem dieser API-Aufrufe finden Sie unter Aktionen.
• Eine VPC-Endpunktrichtlinie ist eine ressourcenbasierte Richtlinie, die Sie an einen VPC-Endpunkt anfügen können. Sie kann den Zugriff auf IAM-Entitäten einschränken. Wenn Sie Ihre Anforderungen über einen VPC-Endpunkt weiterleiten, überprüfen Sie, ob sich Einschränkungen aus der zugehörigen VPC-Endpunktrichtlinie ergeben. Weitere Informationen finden Sie unter VPC-Endpunktrichtlinien verwenden.

„Zugriff verweigert“ Fehlermeldungen für Amazon-S3-Ressourcen beheben

Weitere Informationen zur Fehlerbehebung bei „Zugriff verweigert“ Fehlermeldungen für Amazon-S3-Ressourcen finden Sie unter Wie behebe ich 403-Access-Denied-Fehler bei Amazon S3?

Autorisierungsprobleme beim Zugriff auf die AWS-Fakturierung und -Kostenmanagement-Konsole beheben

IAM-Entitäten mit Administratorberechtigungen haben manchmal Autorisierungsprobleme, wenn sie versuchen, auf die Fakturierung und Kostenmanagement-Konsole zuzugreifen. Aktivieren Sie den Zugriff des IAM-Benutzers/der Rolle auf die Fakturierung und Management-Konsole, wie im ersten Schritt von IAM-Tutorial: Delegieren von Zugriff an die Fakturierungskonsole. Die IAM-Entität kann nicht auf diese Daten zugreifen, ohne diesen Schritt abzuschließen und die erforderlichen IAM-Berechtigungen hinzuzufügen.

Um alle damit verbundenen Autorisierungsprobleme zu beheben, überprüfen Sie, ob Ihre IAM-Entität als Root-Benutzer aktiviert wurde.

---

Relevante Informationen

Wie behebe ich 403-Access-Denied-Fehler bei Amazon S3?

Übersicht über die Zugriffsverwaltung: Berechtigungen und Richtlinien