¿Cómo puedo solucionar los problemas de acceso denegado para el usuario raíz de mi cuenta o para una entidad de IAM que tenga permisos de administrador?

Descripción corta

Es posible que se muestre un error Access denied para el usuario raíz o entidad de IAM que tenga permisos de administrador por los siguientes motivos:

• Una política de control de servicio (SCP) se restringe a un servicio.
• Una política basada en recursos restringe el acceso a un recurso.
• Un límite de permisos limita las acciones que puede realizar el usuario raíz o la entidad de IAM.
• Una política de sesión está provocando un problema de autorización.
• Una política de punto de enlace de Amazon Virtual Private Cloud (Amazon VPC) restringe el acceso.

Resolución

Resolución de problemas de autorización para usuarios raíz

Una SCP puede incluir condiciones que restrinjan a un usuario raíz las acciones en la cuenta de miembro. Para resolver el problema, elimina las restricciones de la SCP que adjuntaste a la cuenta de miembro de tu organización.

El siguiente ejemplo muestra una SCP que deniega el acceso a Amazon Simple Storage Service (Amazon S3) a un usuario raíz. La SCP incluye la clave de condición aws:PrincipalArn y el ARN raíz en el formato arn:aws:iam::accountID:root para denegar el acceso:

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Resolución de los problemas de autorización de las entidades de IAM

Otro tipo de política podría restringir una entidad de IAM que tenga acceso a nivel de administrador. Para obtener más información, consulta Solución de problemas de mensajes de error Access denied.

Las políticas basadas en recursos, como una política de bucket de Amazon S3, pueden restringir el acceso de una entidad de IAM a los recursos. Asegúrate de que la política basada en recursos adjunta al recurso especifique la entidad de IAM. Para obtener una lista de los servicios que admiten políticas basadas en recursos, consulta los servicios de AWS que funcionan con IAM.

Si usas un límite de permisos, la entidad solo puede realizar las acciones permitidas tanto en la política basada en la identidad como en el límite de permisos. Actualiza el límite de permisos para que permita las mismas acciones que la política basada en la identidad.

Al crear una sesión temporal para tu rol de IAM para un usuario federado, puedes aprobar las políticas de sesión mediante programación. Para comprobar si aprobaste una política de sesión para tu sesión de rol de IAM, consulta los registros de AWS CloudTrail para ver las llamadas a la API AssumeRole, AssumeRoleWithSAML y AssumeRoleWithWebIdentity. Para comprobar las políticas de sesión que aprobaste para una sesión de usuario federado, consulta los registros de CloudTrail para ver las llamadas a la API GetFederationToken.

Si diriges tus solicitudes a través de un punto de enlace de VPC, comprueba y elimina las restricciones en la política de punto de enlace de VPC asociada.

Resolución de los mensajes de error "Access denied" para los recursos de Amazon S3

Para solucionar los mensajes de error Access denied para los recursos de Amazon S3, consulta ¿Cómo puedo solucionar los errores 403 Access Denied de Amazon S3?

Resolución de los problemas de autorización al acceder a la consola de administración de facturación y costes

Debes conceder a tu usuario raíz o entidad de IAM acceso a la consola de Administración de facturación y costes de AWS. Para obtener más información, consulta ¿Cómo soluciono los problemas de permisos de IAM en la consola de Administración de facturación y costes?

Para resolver los problemas de autorización, comprueba si la entidad de IAM se activó como usuario raíz.

Información relacionada

Cómo los permisos y políticas permiten realizar administración de acceso

AWSSupport-TroubleshootIAMAccessDeniedEvents