Quiero decodificar un mensaje de estado de autorización codificado para AWS Backup.
Breve descripción
Un mensaje está codificado porque los detalles del estado de autorización pueden contener información confidencial que el usuario que solicitó la operación no puede ver. Un mensaje decodificado incluye el siguiente tipo de información:
Por ejemplo, si un usuario no está autorizado a realizar una operación que ha solicitado, la solicitud devuelve una respuesta Client.UnauthorizedOperation (una respuesta HTTP 403). Algunas operaciones de AWS también devuelven un mensaje codificado que puede proporcionar detalles sobre un error de autorización.
Resolución
Requisito previo: Debe tener el permiso sts:DecodeAuthorizationMessage de AWS Identity and Access Management (IAM) para decodificar un mensaje de estado de autorización.
Para decodificar un mensaje de estado de autorización, utilice la interfaz de la línea de comandos de AWS (AWS CLI) para ejecutar el comando decode-authorization-message. El siguiente es un ejemplo del comando:
Consejo: Si utiliza un sistema operativo basado en Linux, puede combinar este comando con la utilidad jq (del sitio web de GitHub) para ver una salida de fácil visualización.
aws sts decode-authorization-message --encoded-message (encoded error message) --query DecodedMessage --output text | jq '.'
Nota: Si recibe errores al ejecutar los comandos de la AWS CLI, asegúrese de utilizar la versión más reciente de la AWS CLI.
A continuación se muestra un ejemplo de salida del comando anterior:
{
"allowed": false,
…..
"context": {
"principal": {
"id": "AROAAAAAAAAAA:AWSBackup-AWSBackupDefaultServiceRole",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSBackupDefaultServiceRole/AWSBackup-AWSBackupDefaultServiceRole"
},
"action": "iam:PassRole",
"resource": "arn:aws:iam::111122223333:role/AmazonSSMRoleForInstancesQuickSetup",
"conditions": {
"items": [
…..
}
La salida del ejemplo muestra que el rol de restauración es AWSBackupDefaultServiceRole. El rol de restauración debe tener el permiso iam:PassRole para poder interactuar con el rol AmazonSSMRoleForInstancesQuickSetup necesario para restaurar la instancia. Para resolver este ejemplo de problema, utilice la política de IAM para agregar permisos al rol de IAM.
Información relacionada
¿Cómo soluciono el fallo al recuperar los trbajados en Amazon EC2 usando un copia de respaldo AWS?