我尝试使用 AWS Identity and Access Management Access Analyzer 根据 AWS CloudTrail 事件生成了一个策略,但收到了错误。
简短描述
我按照说明使用 IAM Access Analyzer 根据 CloudTrail 活动生成了一个策略,但收到了类似以下内容的错误:
“An error occurred Invalid accessRole: Incorrect permissions assigned to access CloudTrail S3 bucket”
“The role is not authorized to perform: kms:Decrypt on the resource”
解决方法
检查与 IAM Access Analyzer 服务角色关联的策略
确认 IAM Access Analyzer 的服务角色具有生成策略所需的权限。您必须创建或编辑一个服务角色,以允许 IAM Access Analyzer 访问 CloudTrail。您还必须允许 IAM Access Analyzer 访问您 AWS 账户中的 AWS 服务上次访问的信息。确保 AWS 服务与 IAM 协同工作。
**注意:**最佳做法是让管理员为初始设置创建服务角色。有关更多信息,请参阅创建向 AWS 服务委派权限的角色。
查看存储 CloudTrail 日志的 Amazon S3 存储桶策略
查看存储 CloudTrail 日志的存储桶策略。确保策略语句不会拒绝对 IAM Access Analyzer 服务角色的访问。如果 CloudTrail 日志存储在另一个账户中,请确保该策略授予对 Access Analyzer 服务角色的显式访问权限。
例如,假设您在另一个账户中为 AWS Organizations 存储了一个 Amazon Simple Storage Service(Amazon S3)存储桶。Amazon S3 存储桶的存储桶策略必须允许 IAM Access Analyzer 服务角色访问 GetObject 和 ListBuckets API 操作。
查看用于加密 CloudTrail 日志的 AWS KMS 密钥政策
如果使用 AWS Key Management Service(AWS KMS)来加密 CloudTrail 日志,请更新 AWS KMS 密钥政策。查看存储 CloudTrail 日志的账户中的 AWS KMS 密钥政策。确保 AWS KMS 密钥政策授予 IAM Access Analyzer 访问权限。确保 AWS KMS 密钥政策不包含对 IAM Access Analyzer 服务角色的显式拒绝。
相关信息
IAM Access Analyzer 策略生成
使用 AWS Identity and Access Management Access Analyzer
如何使用 AWS IAM Access Analyzer 监控 AWS 组织账户中的 AWS 资源?