如何对“根用户或管理员用户的访问被拒绝”问题进行故障排除？

1 分钟阅读

我的根用户或添加了管理员权限的 AWS Identity and Access Management (IAM) 实体收到了“访问被拒绝”错误。如何排查并解决该“访问被拒绝”问题？

简短描述

有多种原因可能会导致您的根用户或添加了管理员权限的 IAM 实体收到“访问被拒绝”错误。这包括：

服务控制策略 (SCP) 限制您对服务的访问
基于资源的策略限制您对资源的访问
权限边界限制您的实体可以执行的操作
会话策略已到位，并导致授权问题
VPC 终端节点策略限制对您的 IAM 实体的访问

根据您的使用案例和收到的错误，遵循以下故障排除步骤。

解决方法

解决根用户的授权问题

尽管您无法使用 IAM 策略来限制根用户的权限，但您可以使用服务控制策略 (SCP) 从 AWS Organizations 成员账户来限制根用户。使用您 Organization 的管理帐户来检查源自 SCP 的限制。

该示例所展示的是，服务控制策略拒绝根用户访问 Amazon Simple Storage Service (Amazon S3)。它通过使用 aws:PrincipleArn 条件键和以 arn:aws:iam::<<accountIAD>:root 格式匹配根 ARN 的值来执行此操作。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

解决分配有管理员权限的 IAM 实体的授权问题

虽然 IAM 实体可能已有授予管理员级访问权限的策略，但它也可能会受到其他类型的策略的限制。有关更多信息，请参阅对“访问被拒绝”错误进行故障排除以及策略类型。通过以下指南来了解可能会限制您的 IAM 实体访问的策略：

Organization SCP 可以限制对成员账户 IAM 实体的访问。使用 Organization 的管理帐户来检查源自 SCP 的限制。
基于资源的策略可以限制 IAM 实体对资源的访问。基于资源的策略的一个示例是 Amazon S3 存储桶策略。有关支持基于资源的策略的服务，请参阅使用 IAM 的 AWS 服务。
权限边界定义了基于身份的策略可以授予实体的最大权限。如果您使用权限边界，则实体只能执行在基于身份的策略和权限边界中都允许的操作。使用 IAM 控制台来检查用户或角色是否分配有权限边界。
当您为联合身份用户的 IAM 角色创建临时会话时，可以通过编程方式来传递会话策略。会话的权限位于分配给为其创建会话的 IAM 实体的基于身份的策略与会话策略本身的交集处。使用 AssumeRole/AssumeRoleWithSAML/AssumeRoleWithWebIdentity API 调用的 AWS CloudTrail 日志来检查是否为您的 IAM 角色会话传递了会话策略。要检查为联合身份用户会话传递的会话策略，请查看 GetFederationToken API 调用的 CloudTrail 日志。有关每个 API 调用的更多信息，请参阅操作。
VPC 终端节点策略是一种基于资源的策略，您可以将其附加到 VPC 终端节点。它可以限制对 IAM 实体的访问。如果您通过 VPC 终端节点路由请求，请检查关联的 VPC 终端节点策略是否存在任何限制。有关更多信息，请参阅使用 VPC 终端节点策略。

解决 Amazon S3 资源的“访问被拒绝”错误

有关对 Amazon S3 资源的“访问被拒绝”错误进行故障排除的更多信息，请参阅如何对来自 Amazon S3 的 403 访问被拒绝错误执行故障排查？

解决访问 AWS 账单和成本管理控制台时的授权问题

具有管理员权限的 IAM 实体在尝试访问账单和成本管理控制台时可能会遇到授权问题。要激活 IAM 用户/角色对账单和管理控制台的访问权限，详见 IAM 教程：授权访问账单控制台中的第一步。如果不完成此步骤以及添加必要的 IAM 权限，IAM 实体将无法访问这些数据。

要解决任何相关的授权问题，请检查您的 IAM 实体是否已作为根用户被激活。