Je souhaite résoudre l'erreur « Accès refusé » que je reçois pour l'utilisateur racine de mon compte AWS ou pour l'entité AWS Identity and Access Management (IAM) dotée de droits d'administrateur.
Brève description
Il se peut que vous receviez un message d’erreur Accès refusé pour votre utilisateur racine ou votre entité IAM disposant de droits d'administrateur pour les raisons suivantes :
- Une politique de contrôle des services (SCP) se limite à un service.
- Une politique basée sur les ressources restreint l'accès à une ressource.
- Une limite d'autorisations limite les actions que votre utilisateur racine ou votre entité IAM peut effectuer.
- Une politique de session est à l'origine d'un problème d'autorisation.
- Une politique de point de terminaison Amazon Virtual Private Cloud (Amazon VPC) limite l'accès.
Résolution
Résoudre les problèmes d'autorisation pour les utilisateurs racine
Un SCP peut inclure des valeurs qui limitent l'accès d'un utilisateur racine à un compte membre AWS Organizations. Supprimez les restrictions du SCP associé au compte de gestion de votre organisation.
L'exemple suivant montre un SCP qui refuse l'accès à Amazon Simple Storage Service (Amazon S3) à un utilisateur racine. Le SCP inclut la clé de condition aws:PrincipalArn et l'ARN racine au format arn:aws:iam::accountID:root pour refuser l'accès :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
]
}
Résoudre les problèmes d'autorisation pour les entités IAM
Un autre type de politique peut consister à restreindre une entité IAM disposant d'un accès de niveau administrateur. Pour plus d'informations, consultez la section Résoudre les messages d'erreur d'accès refusé.
Les politiques basées sur les ressources, telles qu'une politique de compartiment Amazon S3, peuvent restreindre l'accès d'une entité IAM aux ressources. Assurez-vous que la politique basée sur les ressources qui est associée à la ressource spécifie l'entité IAM. Pour obtenir la liste des services qui prennent en charge les politiques basées sur les ressources, consultez la section Services AWS qui fonctionnent avec IAM.
Si vous utilisez une limite d'autorisations, l'entité ne peut effectuer que les actions autorisées à la fois dans la politique basée sur l'identité et dans la limite d'autorisations. Mettez à jour la limite des autorisations afin qu'elle autorise les mêmes actions que la politique basée sur l'identité.
Lorsque vous créez une session temporaire pour votre rôle IAM pour un utilisateur fédéré, vous pouvez transmettre des politiques de session par programmation. Pour vérifier si vous avez adopté une politique de session pour votre session de rôle IAM, consultez les journaux AWS CloudTrail pour les appels d'API AssumeRole, AssumeRoleWithSAML et AssumeRoleWithWebIdentity. Pour vérifier les politiques de session que vous avez transmises pour une session utilisateur fédérée, consultez les journaux CloudTrail pour les appels d'API GetFederationToken.
Si vous acheminez vos demandes via un point de terminaison de VPC, vérifiez et supprimez les restrictions dans la politique de point de terminaison de VPC associée.
Résoudre les messages d'erreur « Accès refusé » pour les ressources Amazon S3
Pour résoudre les messages d'erreur d'accès refusé pour les ressources Amazon S3, consultez la section Comment puis-je résoudre les erreurs 403 Accès refusé depuis Amazon S3 ?
Résoudre les problèmes d'autorisation lorsque vous accédez à la console de gestion de la facturation et des coûts
Vous devez autoriser votre utilisateur racine ou votre entité IAM à accéder à la console Facturation et gestion des coûts AWS. Pour en savoir plus, consultez la section Comment puis-je résoudre les problèmes d'autorisation IAM pour la console de gestion de la facturation et des coûts ?
Pour résoudre les problèmes d'autorisation, vérifiez si votre entité IAM a été activée en tant qu'utilisateur racine.
Informations connexes
Comment les autorisations et les politiques assurent la gestion des accès