Knowledge Center Monthly Newsletter - June 2025

Stay up to date with the latest from the Knowledge Center. See all new Knowledge Center articles published in the last month, and re:Post's top contributors.

Comment résoudre les problèmes lorsque j'utilise la console de gestion AWS pour changer de rôle IAM ?

Lecture de 5 minute(s)

J'ai utilisé la console de gestion AWS pour essayer de changer de rôle dans Gestion des identités et des accès AWS (AWS IAM). Cependant, j'ai reçu le message d'erreur suivant : « Invalid information in one or more fields. Check your information or contact your administrator. »

Brève description

Le message d'erreur Invalid information in one or more fields s’affiche en raison d’une politique incorrectement configurée. Vous pouvez également recevoir ce message d'erreur lorsque votre requête ne répond pas aux conditions d'une politique d’approbation.

Résolution

Configurer les autorisations AssumeRole pour votre utilisateur ou votre rôle IAM

Pour accorder à un utilisateur l'autorisation de changer de rôle, ajoutez l'action AssumeRole du service de jetons de sécurité AWS (AWS STS) à la politique de votre identité IAM.

Exemple de politique :

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume"  
   }
}

Remarque : Remplacez le arn:aws:iam::account_id_number:role/role-name-you-want-to assume par l’Amazon Resource Name (ARN) du rôle IAM.

Vérifier que la politique d’approbation du rôle IAM inclut un principal

Mettez à jour la politique d’approbation pour inclure un principal. Le principal peut être un utilisateur ou un rôle IAM, ou un compte AWS.

Remarque : Si vous ajoutez un compte en tant que principal approuvé, toutes les identités de ce compte peuvent assumer ce rôle. Cependant, les identités doivent disposer de l'autorisation AssumeRole.

Par exemple, l'utilisateur IAM Carlos dont l'ID de compte 111222333444 souhaite assumer le rôle Maria dans l'ID de compte 444555666777.

L'ID de compte 111222333444 est le compte sécurisé et l'ID de compte 444555666777 est le compte de confiance. Le rôle IAM de Maria repose sur une politique d’approbation qui fait confiance à Carlos.

Exemple de politique d’approbation pour le rôle IAM de Maria :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "AWS": "arn:aws:iam::111222333444:user/Carlos"
      },
      "Condition": {}
    }
  ]
}

Carlos doit également disposer d'une politique IAM pour assumer le rôle IAM de Maria dans l'autre compte.

Exemple de politique IAM permettant à Carlos d'assumer le rôle IAM de Maria :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::444555666777:role/Maria"
    }
  ]
}

Pour autoriser toutes les identités IAM d'un compte à assumer ce rôle, utilisez le principal racine du compte.

Dans la politique d’approbation du rôle IAM de Maria, remplacez user/Carlos par racine :

"AWS": "arn:aws:iam::111222333444:root"

Dans la politique d’approbation du rôle IAM de Maria, vous pouvez également utiliser le caractère générique (*) afin que l'utilisateur puisse assumer n'importe quel rôle dans n'importe quel compte :

"Resource": "arn:aws:iam::444555666777:role/\\\*"

Les modifications précédentes autorisent tout utilisateur ou rôle IAM du compte 111222333444 à assumer le rôle IAM de Maria qui figure dans l'ID de compte 444555666777. Pour minimiser le nombre d'identités pouvant assumer le rôle, il est recommandé de spécifier l'ARN uniquement de l'utilisateur ou du rôle IAM qui requiert un accès.

Pour plus d'informations, consultez la section Mettre à jour une politique d’approbation de rôle.

Refus explicite de SCP ou d'une politique IAM

Si votre compte fait partie d'AWS Organizations, le compte de gestion peut appliquer des politiques de contrôle des services (SCP) qui limitent le changement de rôle. Pour plus d'informations, consultez la section Bonnes pratiques pour le compte de gestion.

Vérifiez s'il existe un refus explicite pour l'action AssumeRole dans la politique SCP ou IAM. S'il existe un refus explicite, le refus remplace toutes les autorisations Autoriser, ce qui empêche la prise de rôle. Dans l'exemple précédent, s'il existe un refus explicite, Carlos ne peut pas assumer le rôle IAM de Maria.

Vérifiez également si les SCP limitent l'accès en fonction des régions AWS. AWS STS est un service mondial. Par conséquent, vous devez le répertorier dans la liste d'exclusion des services mondiaux.

Pour plus d'informations, consultez la section Refuser l'accès à AWS en fonction de la région AWS demandée.

Le rôle requiert un sts:ExternalId pour passer au rôle IAM

Si le rôle IAM requiert une clé sts:ExternalId, vous pouvez utiliser la console de gestion AWS pour changer de rôle. Modifiez la politique pour utiliser l'action AssumeRole avec le paramètre sts:ExternalId.

La clé sts:ExternalId permet à des tiers d'accéder aux ressources AWS.

Pour plus d'informations, consultez la section Accéder à des comptes AWS détenus par des tiers.

Vérifier les conditions dans la politique d’approbation des rôles IAM

Examinez les conditions que vous avez configurées dans la politique d’approbation, telles que la date d'expiration ou l'exigence d'un ExternalId. Votre requête doit respecter les conditions de la politique de rôle IAM.

Par exemple, si la date actuelle est postérieure à la date spécifiée, la condition est fausse et la politique ne peut pas accorder l'autorisation d'assumer le rôle.

La politique suivante refuse l'autorisation d'assumer le rôle après le 1er mai 2016 :

{
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume",
  "Condition": {
    "DateLessThan": {
      "aws:CurrentTime": "2016-05-01T12:00:00Z"
    }
  }
}

Assurez-vous que votre requête répond à toutes les conditions de la politique d’approbation.

Informations connexes

Comment fournir aux utilisateurs IAM un lien leur permettant d'assumer un rôle IAM ?

Comment puis-je utiliser IAM pour accéder aux ressources d'un autre compte AWS ?

Quelle est la différence entre une politique de contrôle des services AWS Organizations et une politique IAM ?

Sujets

Sécurité, identité et conformité

Balises

AWS Identity and Access Management

Langue

Français

AWS OFFICIELA mis à jour il y a un mois

Aucun commentaire

Contenus pertinents

Comment changer une région aws pour un compartiment déjà créé ?
RAV3D
demandé il y a un an
Comment changer l'émetteur utilisé pour envoyer les SMS ?
Nicolas
demandé il y a 2 ans
Comment changer l'adresse mail d'un compte Racine
Damian
demandé il y a un an
Erreur de région lors de la récupération d'un fichier d'amorçage
Julien
demandé il y a un an
Problème de connexion - Compte AWS
Thomas M
demandé il y a un an
Comment résoudre les messages d'erreur de refus explicites lorsque je demande des appels d'API à l'aide de rôles ou d'utilisateurs IAM ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je utiliser les rôles IAM pour restreindre les appels d'API provenant d’adresses IP spécifiques vers la console de gestion AWS ?
AWS OFFICIELA mis à jour il y a 8 mois
Comment puis-je résoudre les erreurs de profil d'instance EC2 pour les rôles IAM ?
AWS OFFICIELA mis à jour il y a 8 mois
Pourquoi ne puis-je pas utiliser un rôle IAM pour le compte de service dans mon pod Amazon EKS ?
AWS OFFICIELA mis à jour il y a 24 jours