¿Cómo puedo solucionar los problemas de acceso denegado para el usuario raíz de mi cuenta o para una entidad de IAM que tenga permisos de administrador?

Descripción corta

Es posible que se muestre un error de acceso denegado para el usuario raíz o entidad de IAM que tenga permisos de administrador por los siguientes motivos:

• Una política de control de servicio (SCP) se restringe a un servicio.
• Una política basada en recursos restringe el acceso a un recurso.
• Un límite de permisos limita las acciones que puede realizar el usuario raíz o la entidad de IAM.
• Una política de sesión está provocando un problema de autorización.
• Una política de punto de enlace de Amazon Virtual Private Cloud (Amazon VPC) restringe el acceso.

Resolución

Resolución de problemas de autorización para usuarios raíz

Una SCP puede incluir valores que restrinjan el acceso de un usuario raíz a una cuenta miembro de AWS Organizations. Elimine las restricciones de la SCP adjunta a la cuenta de administración de su organización.

El siguiente ejemplo muestra una SCP que deniega el acceso a Amazon Simple Storage Service (Amazon S3) a un usuario raíz. La SCP incluye la clave de condición aws:PrincipalArn y el ARN raíz en el formato arn:aws:iam::accountID:root para denegar el acceso:

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Resolución de los problemas de autorización de las entidades de IAM

Otro tipo de política podría restringir una entidad de IAM que tenga acceso a nivel de administrador. Para obtener más información, consulte Solución de problemas de mensajes de error de acceso denegado.

Las políticas basadas en recursos, como una política de bucket de Amazon S3, pueden restringir el acceso de una entidad de IAM a los recursos. Asegúrese de que la política basada en recursos adjunta al recurso especifique la entidad de IAM. Para obtener una lista de los servicios que admiten políticas basadas en recursos, consulte los servicios de AWS que funcionan con IAM.

Si usa un límite de permisos, la entidad solo puede realizar las acciones permitidas tanto en la política basada en la identidad como en el límite de permisos. Actualice el límite de permisos para que permita las mismas acciones que la política basada en la identidad.

Al crear una sesión temporal para su rol de IAM para un usuario federado, puede aprobar las políticas de sesión mediante programación. Para comprobar si aprobó una política de sesión para su sesión de rol de IAM, consulte los registros de AWS CloudTrail para ver las llamadas a la API AssumeRole, AssumeRoleWithSAML y AssumeRoleWithWebIdentity. Para comprobar las políticas de sesión que aprobó para una sesión de usuario federado, consulte los registros de CloudTrail para ver las llamadas a la API GetFederationToken.

Si dirige sus solicitudes a través de un punto de enlace de VPC, compruebe y elimine las restricciones en la política de punto de enlace de VPC asociada.

Resolución de los mensajes de error de «Acceso denegado» para los recursos de Amazon S3

Para solucionar los mensajes de error de acceso denegado para los recursos de Amazon S3, consulte ¿Cómo puedo solucionar los errores 403 de acceso denegado de Amazon S3?

Resolución de los problemas de autorización al acceder a la consola de administración de facturación y costes

Debe conceder a su usuario raíz o entidad de IAM acceso a la consola de Administración de facturación y costes de AWS. Para obtener más información, consulte ¿Cómo soluciono los problemas de permisos de IAM en la consola de Administración de facturación y costes?

Para resolver los problemas de autorización, compruebe si la entidad de IAM se activó como usuario raíz.

Información relacionada

Cómo proporcionan los permisos y las políticas la administración del acceso