使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

如何解决 IAM 错误“Cannot perform the operation on the protected role AWSReservedSSO”(无法对受保护角色 AWSReservedSSO 执行操作)?

1 分钟阅读
0

我尝试使用 AWS Identity and Access Management (IAM) 控制台修改以“AWSReservedSSO”开头的角色名称,但收到了错误。

简短描述

当您使用 IAM 控制台尝试修改以“AWSReservedSSO”开头的角色名称时,可能会收到以下错误:

“Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS”(无法对受保护角色“AWSReservedSSO_RoleName_Here”执行操作 - 此角色只能由 AWS 修改)

解决方法

您不能使用 IAM 控制台修改以“AWSReservedSSO”开头的角色。您必须使用 AWS IAM Identity Center 控制台修改以“AWSReservedSSO”开头的角色。

有关详细信息,请参阅修改 IAM 角色时出现“Cannot perform the operation on the protected role”(无法对受保护角色执行操作)错误。

按照以下步骤使用 IAM Identity Center 控制台编辑内联策略或附加客户管理型策略。

**注意:**确保您的策略在您的 AWS Organizations 成员账户中具有所需的权限。

选项 1: 编辑内联策略

  1. 使用您的 Organizations 管理账户打开 IAM Identity Center 控制台
  2. 在导航窗格中,展开 Multi-account permissions(多账户权限),然后选择 Permission sets(权限集)。
  3. Permission sets(权限集)中,选择要修改的权限集。
  4. Inline policy(内联策略)中,选择 Edit(编辑)。
  5. JSON document editor(JSON 文档编辑器)中,输入为您的用例授予权限的内联策略,然后选择 Save changes(保存更改)。

选项 2: 附加客户管理型策略

  1. 使用您的 Organizations 管理账户打开 IAM Identity Center 控制台
  2. 在导航窗格中,展开 Multi-account permissions(多账户权限),然后选择 Permission sets(权限集)。
  3. Permission sets(权限集)中,选择要将托管策略附加到的权限集。
  4. Customer managed policies(客户管理型策略)中,选择 Attach policies(附加策略)。
  5. 在策略名称中,输入您的成员账户中托管策略的名称,然后选择 Attach policies(附加策略)。

相关信息

如何使用 IAM Identity Center 权限集?

单点登录访问 AWS 账户

AWS 官方
AWS 官方已更新 2 个月前