Come posso risolvere gli errori di accesso negato per l'utente root del mio account o per un'entità IAM con autorizzazioni di amministratore?

Breve descrizione

Potresti ricevere un errore Access denied per l'utente root o per un'entità IAM con autorizzazioni di amministratore per i seguenti motivi:

• Una policy di controllo dei servizi (SCP) limita a un servizio.
• Una policy basata sulle risorse limita l'accesso a una risorsa.
• Un limite di autorizzazione limita le azioni che l'utente root o l'entità IAM possono eseguire.
• Una policy di sessione causa un problema di autorizzazione.
• Una policy degli endpoint Amazon Virtual Private Cloud (Amazon VPC) limita l'accesso.

Risoluzione

Risolvi i problemi di autorizzazione per gli utenti root

Una SCP può includere condizioni che impediscono a un utente root di effettuare azioni sull'account membro. Per risolvere il problema, rimuovi le restrizioni dalla SCP che hai collegato all'account membro dell'organizzazione.

L'esempio seguente mostra una SCP che nega a un utente root l'accesso ad Amazon Simple Storage Service (Amazon S3). La policy include la chiave di condizione aws:PrincipalArn e l'ARN root nel formato arn:aws:iam::accountID:root per negare l'accesso:

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Risolvi i problemi di autorizzazione per le entità IAM

Un altro tipo di policy potrebbe limitare un'entità IAM con accesso a livello di amministratore. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi ai messaggi di errore di accesso rifiutato.

Le policy basata sulle risorse, come ad esempio una policy di bucket Amazon S3, possono limitare l'accesso di un'entità IAM alle risorse. Assicurati che la policy basata sulle risorse collegata alla risorsa specifichi l'entità IAM. Per un elenco dei servizi che supportano policy basate sulle risorse, consulta Servizi AWS che funzionano con IAM.

Se utilizzi un limite di autorizzazione, l'entità può eseguire solo le azioni consentite sia nella policy basata sull'identità che nel limite di autorizzazione. Aggiorna il limite di autorizzazione in modo che consenta le stesse azioni della policy basata sull'identità.

Quando crei una sessione temporanea per il ruolo IAM per un utente federato, puoi passare le policy di sessione a livello di codice. Per verificare se hai superato una policy di sessione per la sessione del ruolo IAM, controlla nei log di AWS CloudTrail le chiamate API AssumeRole, AssumeRoleWithSAML e AssumeRoleWithWebIdentity. Per verificare le policy di sessione che hai approvato per la sessione di un utente federato, controlla nei log di CloudTrail le chiamate API GetFederationToken.

Se instradi le tue richieste tramite un endpoint VPC, controlla e rimuovi le restrizioni nella policy degli endpoint VPC.

Risolvi i messaggi di errore "Access denied" relativi alle risorse di Amazon S3

Per risolvere i messaggi di errore Access denied relativi alle risorse di Amazon S3, consulta Come posso risolvere gli errori 403 di Accesso negato da Amazon S3?

Risolvi i problemi di autorizzazione quando accedi alla console Gestione costi e fatturazione

Devi concedere all'utente root o all'entità IAM l'accesso alla console Gestione costi e fatturazione AWS. Per ulteriori informazioni, consulta Come posso risolvere i problemi relativi alle autorizzazioni IAM per la console di Gestione costi e fatturazione?

Per risolvere i problemi di autorizzazione, controlla se l'entità IAM è stata attivata come utente root.

Informazioni correlate

Come le autorizzazioni e le policy forniscono la gestione degli accessi

AWSSupport-TroubleshootIAMAccessDeniedEvents