Why is a AWSReservedSSO_PowerUserAccess policy holder blocked from performing an action?

When testing out AWS SSO before a full rollout, we've run into a few errors with permissions. Most are non-issues, but this error (below) surprised me-- why would a PowerUser policy holder not have the ability to perform every action they try to perform?

Failed to describe Instance Profiles
Failed to describe Instance Profiles. User: arn:aws:sts::x123x:assumed-role/AWSReservedSSO_PowerUserAccess_x123x/dev@email.com is not authorized to perform: iam:ListInstanceProfiles on resource: arn:aws:iam::x123x:instance-profile/ because no identity-based policy allows the iam:ListInstanceProfiles action.

トピック

セキュリティ、アイデンティティ、コンプライアンス

タグ

AWS Identity and Access Management AWS IAM アイデンティティセンター IAM ポリシー

言語

English

nrmill

質問済み 1ヶ月前170ビュー

1回答

新しい順
投票が多い順
コメントが多い順

承認された回答

Hello,

The PowerUser will have access to every service except for some permissions regarding the IAM service. As you can see, you are trying to perform an action on the IAM service iam:ListInstanceProfiles. The Power User does not have access to the IAM API actions because managing users is the most powerful tool in AWS. The reason why managing users is so powerful is that if somebody has full access to the IAM service, that identity can grant himself or other users any permission that that identity wants.

PowerUserAccess = Admin Acess - IAM

Julian

回答済み 1ヶ月前

エキスパート

Gary Mclean

レビュー済み 1ヶ月前

エキスパート

Osvaldo Marte

レビュー済み 1ヶ月前

nrmill
1ヶ月前
Thank you so much, this makes perfect sense! What is the best-practice for allowing those who need to assign necessary IAM roles to EC2 instances/other objects to do so without allowing them full access to all IAM actions? Do I just need to make a custom policy that allows iam:PassRole for the relevant IAM role(s)?

関連するコンテンツ

how to create an instance VM server and how to make a plan for 3 years?
kou
質問済み 2ヶ月前
ENI（eni-02a5da4b, eni-0a6c9451）が削除できない
fuku
質問済み 7年前
CodeDeployにてThe deployment failed because a non-empty field was discovered on your Auto Scaling group that Code Deploy does not currently support copying. Unsupported fields:が表示されデプロイが進まない
承認された回答
rePost-User-6968076
質問済み 1年前
RDS for MySQL 8.0.35でPlugin mysql_native_password reported: ''mysql_native_password' is deprecated and will be removed in a future release. Please use caching_sha2_password instead'のエラーが継続して発生する
parma
質問済み 4ヶ月前
「Policy contains a statement with one or more invalid principals (1 つ以上の無効なプリンシパルを持つステートメントがポリシーに含まれています)」という AWS KMS キーポリシーエラーを解決する方法を教えてください。
AWS公式更新しました 2年前
Amazon EMR クラスターが起動に失敗し、「bootstrap action returned a non-zero return code」(ブートストラップアクションがゼロ以外のリターンコードを返しました) というエラーを返すのはなぜですか?
AWS公式更新しました 2年前
Athena で AWS Config からファイルを読み取るときの「HIVE_CURSOR_ERROR: Row is not a valid JSON Object - JSONException: Duplicate key」を解決する方法を教えてください。
AWS公式更新しました 1年前
Amazon EMR で Hue を使用しているときに発生する「Cannot access: s3a://」(アクセスできません: s3a://) および「certificate verify failed」(証明書の検証に失敗しました) というエラーを解決するにはどうすればよいですか?
AWS公式更新しました 2年前
AWS Application Migration Service (MGN) とエージェントレス vCenter クライアントを利用して VMware 仮想環境から AWS への移行を加速させる
エキスパート
Koichi Takeda
公開済み 8日前
アベイラビリティーゾーン (AZ) の移行&インスタンスのアップグレードガイド
エキスパート
Sumikawa_M
公開済み 3ヶ月前