Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Como solucionar problemas de acesso negado para um usuário raiz ou administrador?

5 minuto de leitura
0

Recebi um erro de acesso negado no meu usuário raiz ou na entidade do AWS Identity and Access Management (IAM) que tem permissões de administrador adicionadas a ela. Como posso solucionar problemas de acesso negado?

Breve descrição

Há vários motivos pelos quais você pode receber um erro de acesso negado no usuário raiz ou na entidade do IAM que tem permissões de administrador adicionadas a ela. Isso inclui:

  • Uma política de controle de serviço (SCP) está restringindo seu acesso a um serviço
  • Uma política baseada em recursos está restringindo seu acesso a um recurso
  • Um limite de permissões está limitando as ações que sua entidade pode executar
  • Uma política de sessão está em vigor e está causando um problema de autorização
  • Uma política de endpoint da VPC está restringindo o acesso às suas entidades do IAM

Use as etapas de solução de problemas abaixo, dependendo do seu caso de uso e do erro recebido.

Resolução

Resolver problemas de autorização para usuários raiz

Embora você não possa restringir as permissões de um usuário raiz usando políticas do IAM, pode restringir um usuário raiz de uma conta membro do AWS Organizations usando uma política de controle de serviço (SCP). Verifique se há restrições provenientes de uma SCP usando a conta de gerenciamento da sua organização.

Este exemplo mostra uma política de controle de serviço que nega o acesso ao Amazon Simple Storage Service (Amazon S3) para um usuário raiz. Ela faz isso usando a chave de condição aws:PrincipleArn e um valor que corresponde ao ARN raiz no formato arn:aws:iam::<<accountIAD>:raiz.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Resolver problemas de autorização para entidades do IAM com permissões de administrador atribuídas

Embora uma entidade do IAM possa ter uma política em vigor que concede acesso em nível de administrador, ela também pode ser restrita por outros tipos de políticas. Para obter mais informações, consulte Solucionar problemas de mensagens de erro de acesso negado e Tipos de política. Use as diretrizes a seguir para entender as políticas que podem estar restringindo o acesso da sua entidade do IAM:

  • Um SCP da organização pode restringir o acesso às entidades do IAM da conta membro. Verifique se há restrições provenientes de uma SCP usando a conta de gerenciamento da Organização.
  • As políticas baseadas em recursos podem restringir o acesso de uma entidade do IAM aos recursos. Um exemplo de política baseada em recursos é uma política de bucket do Amazon S3. Para obter uma lista de serviços que oferecem suporte a políticas baseadas em recursos, consulte Serviços da AWS compatíveis com o IAM.
  • Um limite de permissões define as permissões máximas que uma política baseada em identidade pode conceder a uma entidade. Se você usar um limite de permissões, a entidade só poderá executar ações permitidas na política baseada em identidade e no limite de permissões. Verifique se o usuário ou a função tem um limite de permissões atribuído usando o console do IAM.
  • Políticas de sessão podem ser transmitidas programaticamente quando você cria uma sessão temporária para a sua função do IAM para um usuário federado. As permissões para uma sessão estão na interseção das políticas baseadas em identidade atribuídas à entidade do IAM para a qual a sessão foi criada e à própria política de sessão. Verifique se uma política de sessão é transmitida para sua sessão de função do IAM usando os logs do AWS CloudTrail para chamadas de APIs AssumeRole/AssumeRoleWithSAML/AssumeRoleWithWebIdentity. Para verificar as políticas de sessão transmitidas para uma sessão de usuário federado, verifique os logs do CloudTrail para chamadas de API GetFederationToken. Para obter mais informações sobre cada uma dessas chamadas de API, consulte Ações.
  • Uma política de endpoint de VPC é uma política baseada em recursos que você pode anexar a um endpoint de VPC. Ela pode restringir o acesso a entidades do IAM. Se você roteia suas solicitações por meio de um endpoint de VPC, verifique se há restrições provenientes da política de endpoint da VPC associada. Para obter mais informações, consulte Usar políticas de endpoint da VPC.

Resolver mensagens de erro de acesso negado para recursos do Amazon S3

Para obter mais informações sobre como solucionar problemas de mensagens de erro de acesso negado para recursos do Amazon S3, consulte Como solucionar erros 403 de acesso negado do Amazon S3?

Resolver problemas de autorização ao acessar o console Gerenciamento de Faturamento e Custos da AWS

Às vezes, as entidades do IAM com permissões de administrador enfrentam problemas de autorização ao tentar acessar o console Gerenciamento de Faturamento e Custos. Ative o acesso do usuário/função do IAM ao Gerenciamento de Faturamento e Custos, conforme detalhado na etapa 1 do tutorial do IAM: Delegar acesso ao console de faturamento. A entidade do IAM não consegue acessar esses dados sem concluir essa etapa, além de adicionar as permissões do IAM necessárias.

Para resolver quaisquer problemas de autorização relacionados, verifique se a entidade do IAM foi ativada como o usuário raiz.

Informações relacionadas

Como solucionar erros 403 de acesso negado do Amazon S3?

Visão geral do gerenciamento de acesso: permissões e políticas

Tópicos
Segurança, identidade e conformidade
Tags
AWS Identity and Access Management
Idioma
Português
AWS OFICIAL
AWS OFICIALAtualizada há 2 anos

Conteúdo relevante