¿Cómo puedo resolver los problemas relacionados con el cambio de roles de IAM mediante la consola de administración de AWS?

5 minutos de lectura
0

Intenté cambiar los roles de AWS Identity and Access Management (AWS IAM) mediante la consola de administración de AWS y recibí un error similar al siguiente: «La información en uno o más campos no es válida. Compruebe la información o póngase en contacto con su administrador».

Descripción breve

Este error puede producirse por los siguientes motivos:

  • Permisos de la acción AssumeRole incorrectos
  • Política de confianza de IAM incorrecta
  • Denegación explícita por parte de las políticas
  • ID de cuenta o nombre de rol incorrectos
  • Requerir un ID externo para cambiar de rol
  • Condiciones de política de confianza incorrectas

Resolución

Siga estas instrucciones para comprobar la configuración de la política de IAM para cambiar los roles de IAM para su situación.

Permisos de la acción AssumeRole faltantes o incorrectos

Para cambiar a un rol de IAM, la entidad de IAM debe tener el permiso de la acción AssumeRole. La entidad de IAM debe tener una política con el permiso de la acción AssumeRole similar a la siguiente:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume"  
}

Asegúrese de que el recurso coincida con el nombre de recurso de Amazon (ARN) del rol de IAM al que desea cambiar. Para obtener más información, consulte Conceder permisos de usuario para cambiar de rol.

La política de confianza de rol de IAM no confía en el ID de cuenta del usuario de IAM

La política de confianza del rol de IAM define las entidades principales que pueden asumir el rol Comprobar que la política de confianza indica el ID de la cuenta del usuario de IAM como la entidad principal de confianza. Por ejemplo, un usuario de IAM llamado Roberto con el ID de cuenta 111222333444 desea cambiar a un rol de IAM llamado Alicia para el ID de cuenta 444555666777. El ID de cuenta 111222333444 es la cuenta de confianza y el ID de cuenta 444555666777 es la cuenta en la que confía. El rol de IAM Alicia tiene una política de confianza en Roberto similar a la siguiente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "AWS": "<111222333444>"
      },
      "Condition": {}
    }
  ]
}

Nota: Se recomienda seguir el principio de privilegio mínimo y especificar el ARN completo solo para los roles que el usuario necesita.

Para obtener más información, consulte Modificar una política de confianza de rol (consola).

Denegación explícita desde políticas de control de servicios (SCP) o una política de IAM

Si su cuenta de AWS forma parte de AWS Organizations, es posible que su cuenta de administración tenga SCP. Asegúrese de que los SCP no denieguen explícitamente la acción AssumeRole. Compruebe si hay SCP que denieguen acciones de API en función de las regiones de AWS. AWS Security Token Service (AWS STS) es un servicio global que debe incluirse en la lista global de exclusiones de servicios. Asegúrese de que no haya ninguna denegación explícita en las políticas de IAM, ya que las declaraciones de «denegación» tienen prioridad sobre las declaraciones de «permiso».

Para obtener más información, consulte Denegar acceso a AWS en función de la región de AWS solicitada.

Comprobar del ID de la cuenta de AWS y el nombre del rol de IAM

Compruebe que el ID de la cuenta y el nombre del rol de IAM son correctos en la página del rol del cambio. El ID de la cuenta es un identificador de 12 dígitos y el nombre del rol de IAM es el nombre del rol que desea asumir.

Para obtener más información, consulte Cosas que debe saber acerca del cambio de roles en la consola.

Solicitar un ID externo para cambiar al rol de IAM

Los administradores pueden usar un ID externo para conceder acceso a terceros a los recursos de AWS. No puede cambiar los roles de IAM en la consola de administración de AWS a un rol que requiera un valor clave de condición de ExternalID. Solo puede cambiar a roles de IAM llamando a la acción AssumeRole que admite la clave ExternalID.

Para obtener más información, consulte Cómo utilizar un ID externo al conceder acceso a los recursos de AWS a terceros.

Condiciones válidas de la política de confianza del rol de IAM

Compruebe que cumple todas las condiciones especificadas en la política de confianza del rol de IAM. Una condición puede especificar una fecha de caducidad, un ID externo o que las solicitudes solo deben provenir de direcciones IP específicas. En el siguiente ejemplo de política, si la fecha actual es posterior a la fecha especificada, la condición es falsa. La política no puede conceder permisos para asumir el rol de IAM.

"Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume"
    "Condition": {
        "DateLessThan" : {
            "aws:CurrentTime" : "2016-05-01T12:00:00Z"
        }
    }

Información relacionada

¿Cómo proporciono a los usuarios de IAM un enlace para que asuman un rol de IAM?

¿Cómo configuro un usuario de IAM e inicio sesión en la consola de administración de AWS con las credenciales de IAM?

¿Cómo accedo a los recursos de otra cuenta de AWS mediante AWS IAM?

¿Cuál es la diferencia entre una política de control de servicio de AWS Organizations y una política de IAM?

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 8 meses