Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Comment puis-je résoudre les problèmes d'accès refusé à l'utilisateur racine de mon compte ou à une entité IAM disposant de droits d'administrateur ?

Lecture de 4 minute(s)

Je souhaite résoudre l'erreur « Accès refusé » que je reçois pour l'utilisateur racine de mon compte AWS ou pour l'entité AWS Identity and Access Management (IAM) dotée de droits d'administrateur.

Brève description

Il se peut que vous receviez un message d’erreur Accès refusé pour votre utilisateur racine ou votre entité IAM disposant de droits d'administrateur pour les raisons suivantes :

Une politique de contrôle des services (SCP) se limite à un service.
Une politique basée sur les ressources restreint l'accès à une ressource.
Une limite d'autorisations limite les actions que votre utilisateur racine ou votre entité IAM peut effectuer.
Une politique de session est à l'origine d'un problème d'autorisation.
Une politique de point de terminaison Amazon Virtual Private Cloud (Amazon VPC) limite l'accès.

Résolution

Résoudre les problèmes d'autorisation pour les utilisateurs racine

Un SCP peut inclure des valeurs qui limitent l'accès d'un utilisateur racine à un compte membre AWS Organizations. Supprimez les restrictions du SCP associé au compte de gestion de votre organisation.

L'exemple suivant montre un SCP qui refuse l'accès à Amazon Simple Storage Service (Amazon S3) à un utilisateur racine. Le SCP inclut la clé de condition aws:PrincipalArn et l'ARN racine au format arn:aws:iam::accountID:root pour refuser l'accès :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Résoudre les problèmes d'autorisation pour les entités IAM

Un autre type de politique peut consister à restreindre une entité IAM disposant d'un accès de niveau administrateur. Pour plus d'informations, consultez la section Résoudre les messages d'erreur d'accès refusé.

Les politiques basées sur les ressources, telles qu'une politique de compartiment Amazon S3, peuvent restreindre l'accès d'une entité IAM aux ressources. Assurez-vous que la politique basée sur les ressources qui est associée à la ressource spécifie l'entité IAM. Pour obtenir la liste des services qui prennent en charge les politiques basées sur les ressources, consultez la section Services AWS qui fonctionnent avec IAM.

Si vous utilisez une limite d'autorisations, l'entité ne peut effectuer que les actions autorisées à la fois dans la politique basée sur l'identité et dans la limite d'autorisations. Mettez à jour la limite des autorisations afin qu'elle autorise les mêmes actions que la politique basée sur l'identité.

Lorsque vous créez une session temporaire pour votre rôle IAM pour un utilisateur fédéré, vous pouvez transmettre des politiques de session par programmation. Pour vérifier si vous avez adopté une politique de session pour votre session de rôle IAM, consultez les journaux AWS CloudTrail pour les appels d'API AssumeRole, AssumeRoleWithSAML et AssumeRoleWithWebIdentity. Pour vérifier les politiques de session que vous avez transmises pour une session utilisateur fédérée, consultez les journaux CloudTrail pour les appels d'API GetFederationToken.

Si vous acheminez vos demandes via un point de terminaison de VPC, vérifiez et supprimez les restrictions dans la politique de point de terminaison de VPC associée.

Résoudre les messages d'erreur « Accès refusé » pour les ressources Amazon S3

Pour résoudre les messages d'erreur d'accès refusé pour les ressources Amazon S3, consultez la section Comment puis-je résoudre les erreurs 403 Accès refusé depuis Amazon S3 ?

Résoudre les problèmes d'autorisation lorsque vous accédez à la console de gestion de la facturation et des coûts

Vous devez autoriser votre utilisateur racine ou votre entité IAM à accéder à la console Facturation et gestion des coûts AWS. Pour en savoir plus, consultez la section Comment puis-je résoudre les problèmes d'autorisation IAM pour la console de gestion de la facturation et des coûts ?

Pour résoudre les problèmes d'autorisation, vérifiez si votre entité IAM a été activée en tant qu'utilisateur racine.

Informations connexes

Comment les autorisations et les politiques assurent la gestion des accès

Sujets

Sécurité, identité et conformité

Balises

AWS Identity and Access Management

Langue

Français

AWS OFFICIELA mis à jour il y a 4 mois

Aucun commentaire

Contenus pertinents

Compte suspendu
Gautier
demandé il y a 8 mois
Comment changer l'adresse mail d'un compte Racine
Damian
demandé il y a un an
Port 443 bloqué
Réponse acceptée
Daniel SAKOU
demandé il y a 3 mois
Compte bloque je n'arrive plus a acceder au compt
Shekina Banza
demandé il y a un an
Problème de téléchargement depuis woo commerce
rePost-User-3044880
demandé il y a 2 ans
Comment résoudre les messages d'erreur de refus explicites lorsque je demande des appels d'API à l'aide de rôles ou d'utilisateurs IAM ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je résoudre les erreurs d’accès refusé ou d’opération non autorisée à l’aide d’une stratégie IAM ?
AWS OFFICIELA mis à jour il y a 7 mois
Comment résoudre les erreurs Accès refusé lorsque des utilisateurs IAM d'un autre compte AWS tentent d'accéder à mon compartiment Amazon S3 ?
AWS OFFICIELA mis à jour il y a 3 mois
Comment puis-je résoudre les problèmes de refus d'accès causés par les limites d’autorisations ?
AWS OFFICIELA mis à jour il y a 7 mois