Knowledge Center Monthly Newsletter - June 2025
Stay up to date with the latest from the Knowledge Center. See all new Knowledge Center articles published in the last month, and re:Post's top contributors.
Comment résoudre les problèmes lorsque j'utilise la console de gestion AWS pour changer de rôle IAM ?
J'ai utilisé la console de gestion AWS pour essayer de changer de rôle dans Gestion des identités et des accès AWS (AWS IAM). Cependant, j'ai reçu le message d'erreur suivant : « Invalid information in one or more fields. Check your information or contact your administrator. »
Brève description
Le message d'erreur Invalid information in one or more fields s’affiche en raison d’une politique incorrectement configurée. Vous pouvez également recevoir ce message d'erreur lorsque votre requête ne répond pas aux conditions d'une politique d’approbation.
Résolution
Configurer les autorisations AssumeRole pour votre utilisateur ou votre rôle IAM
Pour accorder à un utilisateur l'autorisation de changer de rôle, ajoutez l'action AssumeRole du service de jetons de sécurité AWS (AWS STS) à la politique de votre identité IAM.
Exemple de politique :
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume" } }
Remarque : Remplacez le arn:aws:iam::account_id_number:role/role-name-you-want-to assume par l’Amazon Resource Name (ARN) du rôle IAM.
Vérifier que la politique d’approbation du rôle IAM inclut un principal
Mettez à jour la politique d’approbation pour inclure un principal. Le principal peut être un utilisateur ou un rôle IAM, ou un compte AWS.
Remarque : Si vous ajoutez un compte en tant que principal approuvé, toutes les identités de ce compte peuvent assumer ce rôle. Cependant, les identités doivent disposer de l'autorisation AssumeRole.
Par exemple, l'utilisateur IAM Carlos dont l'ID de compte 111222333444 souhaite assumer le rôle Maria dans l'ID de compte 444555666777.
L'ID de compte 111222333444 est le compte sécurisé et l'ID de compte 444555666777 est le compte de confiance. Le rôle IAM de Maria repose sur une politique d’approbation qui fait confiance à Carlos.
Exemple de politique d’approbation pour le rôle IAM de Maria :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::111222333444:user/Carlos" }, "Condition": {} } ] }
Carlos doit également disposer d'une politique IAM pour assumer le rôle IAM de Maria dans l'autre compte.
Exemple de politique IAM permettant à Carlos d'assumer le rôle IAM de Maria :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::444555666777:role/Maria" } ] }
Pour autoriser toutes les identités IAM d'un compte à assumer ce rôle, utilisez le principal racine du compte.
Dans la politique d’approbation du rôle IAM de Maria, remplacez user/Carlos par racine :
"AWS": "arn:aws:iam::111222333444:root"
Dans la politique d’approbation du rôle IAM de Maria, vous pouvez également utiliser le caractère générique (*) afin que l'utilisateur puisse assumer n'importe quel rôle dans n'importe quel compte :
"Resource": "arn:aws:iam::444555666777:role/\\\*"
Les modifications précédentes autorisent tout utilisateur ou rôle IAM du compte 111222333444 à assumer le rôle IAM de Maria qui figure dans l'ID de compte 444555666777. Pour minimiser le nombre d'identités pouvant assumer le rôle, il est recommandé de spécifier l'ARN uniquement de l'utilisateur ou du rôle IAM qui requiert un accès.
Pour plus d'informations, consultez la section Mettre à jour une politique d’approbation de rôle.
Refus explicite de SCP ou d'une politique IAM
Si votre compte fait partie d'AWS Organizations, le compte de gestion peut appliquer des politiques de contrôle des services (SCP) qui limitent le changement de rôle. Pour plus d'informations, consultez la section Bonnes pratiques pour le compte de gestion.
Vérifiez s'il existe un refus explicite pour l'action AssumeRole dans la politique SCP ou IAM. S'il existe un refus explicite, le refus remplace toutes les autorisations Autoriser, ce qui empêche la prise de rôle. Dans l'exemple précédent, s'il existe un refus explicite, Carlos ne peut pas assumer le rôle IAM de Maria.
Vérifiez également si les SCP limitent l'accès en fonction des régions AWS. AWS STS est un service mondial. Par conséquent, vous devez le répertorier dans la liste d'exclusion des services mondiaux.
Pour plus d'informations, consultez la section Refuser l'accès à AWS en fonction de la région AWS demandée.
Le rôle requiert un sts:ExternalId pour passer au rôle IAM
Si le rôle IAM requiert une clé sts:ExternalId, vous pouvez utiliser la console de gestion AWS pour changer de rôle. Modifiez la politique pour utiliser l'action AssumeRole avec le paramètre sts:ExternalId.
La clé sts:ExternalId permet à des tiers d'accéder aux ressources AWS.
Pour plus d'informations, consultez la section Accéder à des comptes AWS détenus par des tiers.
Vérifier les conditions dans la politique d’approbation des rôles IAM
Examinez les conditions que vous avez configurées dans la politique d’approbation, telles que la date d'expiration ou l'exigence d'un ExternalId. Votre requête doit respecter les conditions de la politique de rôle IAM.
Par exemple, si la date actuelle est postérieure à la date spécifiée, la condition est fausse et la politique ne peut pas accorder l'autorisation d'assumer le rôle.
La politique suivante refuse l'autorisation d'assumer le rôle après le 1er mai 2016 :
{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume", "Condition": { "DateLessThan": { "aws:CurrentTime": "2016-05-01T12:00:00Z" } } }
Assurez-vous que votre requête répond à toutes les conditions de la politique d’approbation.
Informations connexes
Comment fournir aux utilisateurs IAM un lien leur permettant d'assumer un rôle IAM ?
Comment puis-je utiliser IAM pour accéder aux ressources d'un autre compte AWS ?

Contenus pertinents
- demandé il y a un an
- demandé il y a 2 ans
- demandé il y a un an
- demandé il y a un an
- demandé il y a un an
- AWS OFFICIELA mis à jour il y a 8 mois
- AWS OFFICIELA mis à jour il y a 24 jours