Come posso risolvere i problemi di accesso negato per l'utente root del mio account o per un'entità IAM con autorizzazioni di amministratore?

Breve descrizione

Potresti ricevere un errore Accesso negato per l'utente root o per un'entità IAM con autorizzazioni di amministratore per i seguenti motivi:

• Una policy di controllo dei servizi limita a un servizio.
• Una policy basata sulle risorse limita l'accesso a una risorsa.
• Un limite di autorizzazioni limita le azioni che l'utente root o l'entità IAM possono eseguire.
• Una policy di sessione causa un problema di autorizzazione.
• Una policy degli endpoint Amazon Virtual Private Cloud (Amazon VPC) limita l'accesso.

Risoluzione

Risolvi i problemi di autorizzazione per gli utenti root

Una policy di controllo dei servizi può includere valori che limitano l'accesso di un utente root a un account membro di AWS Organizations. Rimuovi le restrizioni dalla policy di controllo dei servizi associata all'account di gestione della tua organizzazione.

L'esempio seguente mostra una policy di controllo dei servizi che nega a un utente root l'accesso ad Amazon Simple Storage Service (Amazon S3). La policy include la chiave di condizione aws:PrincipalArn e l'ARN root nel formato arn:aws:iam::accountID:root per negare l'accesso:

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Risolvi i problemi di autorizzazione per le entità IAM

Un'entità IAM con accesso di livello amministratore potrebbe essere limitata da un altro tipo di policy . Per ulteriori informazioni, consulta Risoluzione dei problemi relativi ai messaggi di errore di accesso negato.

Le policy basata sulle risorse, come ad esempio una policy del bucket Amazon S3, possono limitare l'accesso di un'entità IAM alle risorse. Assicurati che la policy basata sulle risorse collegata alla risorsa specifichi l'entità IAM. Per un elenco di servizi che supportano policy basata sulle risorse, consulta Servizi AWS che funzionano con IAM.

Se utilizzi un limite delle autorizzazioni, l'entità può eseguire solo le azioni consentite sia nella policy basata sull'identità che nel limite delle autorizzazioni. Aggiorna il limite delle autorizzazioni in modo che consenta le stesse azioni della policy basata sull'identità.

Quando crei una sessione temporanea per il tuo ruolo IAM per un utente federato, puoi passare le policy di sessione a livello di codice. Per verificare se hai superato una policy di sessione per la tua sessione di ruolo IAM, controlla i log di AWS CloudTrail per le chiamate API AssumeRole, AssumeRoleWithSAML e AssumeRoleWithWebIdentity. Per verificare le policy di sessione che hai approvato per una sessione utente federata, controlla i log di CloudTrail per le chiamate API GetFederationToken.

Se instradi le tue richieste tramite un endpoint VPC, controlla e rimuovi le restrizioni nella policy degli endpoint VPC.

Risolvi i messaggi di errore"Access denied" per le risorse Amazon S3

Per risolvere i messaggi di errore Accesso negato per le risorse Amazon S3, consulta Come posso risolvere gli errori 403 di Accesso negato da Amazon S3?

Risolvi i problemi di autorizzazione quando accedi alla console Gestione costi e fatturazione

Devi concedere all'utente root o all'entità IAM l'accesso alla console Gestione costi e fatturazione AWS. Per ulteriori informazioni, consulta Come posso risolvere i problemi relativi alle autorizzazioni IAM per la console di Gestione costi e fatturazione?

Per risolvere i problemi di autorizzazione, controlla se la tua entità IAM è stata attivata come utente root.

Informazioni correlate

Come le autorizzazioni e le policy forniscono la gestione degli accessi