如何对 Quick Suite 中的 AWS 资源权限错误进行故障排除?
我想对在尝试编辑 Amazon Quick Suite 对 AWS 资源的权限时收到的错误进行故障排除。
简短描述
如果您在 AWS Identity and Access Management (IAM) 控制台中编辑 Quick Suite 对 AWS 资源的权限,则可能会收到以下错误:
- "The role used by Quick Suite for AWS resource access was modified to an un-recoverable state outside of Quick Suite, so you can no longer edit AWS resource permissions in Quick Suite."
- "We were unable to update Quick Suite permissions for AWS resources.Either you are not authorized to edit Quick Suite permissions on AWS resources, or the Quick Suite permissions were changed using the IAM console and are therefore no longer updateable through Quick Suite."
- "We cannot update the IAM Role"
- "Quick Suite has detected unknown policies attached to following roles please detach them and retry"
- "Something went wrong For more information see Set IAM policy"
最佳做法是在 Quick Suite 控制台中编辑 Quick Suite 对 AWS 资源的权限。
解决方法
当 Quick Suite 与其他 AWS 服务交互时,Quick Suite 会代入 aws-quicksight-service-role-v0 和 aws-quicksight-s3-consumers-role-v0 服务角色,然后将托管策略附加到这些角色。移除这些服务角色,然后移除附加的托管策略。最后,恢复 Quick Suite 对您的 AWS 服务的访问权限。
**重要事项:**在删除 IAM 策略之前,请务必对其进行备份。您可以通过备份查看之前拥有访问权限的 Amazon Simple Storage Service (Amazon S3) 账户资源。
验证 Quick Suite 和 IAM 权限,然后移除服务角色和策略
完成以下步骤:
-
查看您的 Quick Suite 用户账户,并确认您的用户具有管理员角色。
-
打开 IAM 控制台。
-
(可选)如果您尚未创建管理员,请创建 IAM 用户管理员。
-
确保您的 IAM 策略允许您创建和删除 Quick Sight 服务和角色。
IAM 策略示例:{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:DetachRolePolicy", "iam:DeleteRole", "iam:AttachRolePolicy", "iam:CreateRole" ], "Resource":[ "arn:aws:iam::Account-id:role/service-role/aws-quicksight-service-role-v0" "arn:aws:iam::Account-id:role/service-role/aws-quicksight-s3-consumers-role-v0" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:ListPolicies", "iam:GetPolicyVersion", "iam:GetRole", "iam:GetPolicy", "iam:ListPolicyVersions", "iam:ListAttachedRolePolicies", "iam:GenerateServiceLastAccessedDetails", "iam:ListEntitiesForPolicy", "iam:ListPoliciesGrantingServiceAccess", "iam:ListRoles", "iam:GetServiceLastAccessedDetails", "iam:ListAccountAliases", "iam:ListRolePolicies", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": [ "iam:DeletePolicy", "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion" ], "Resource": [ "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightIAMPolicy", "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRDSPolicy", "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3Policy", "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRedshiftPolicy" "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3ConsumersPolicy" ] } ] } -
在导航窗格中,选择 Roles(角色)。
-
在角色搜索窗格中,查找并删除 aws-quicksight-service-role-v0 和 aws-quicksight-s3-consumers-role-v0 IAM 角色。
**注意:**当您在 Quick Suite 中设置权限时,Quick Suite 会自动创建这些服务角色。如果 Quick Suite 未创建 aws-quicksight-s3-consumers-role-v0 角色,请删除 aws-quicksight-service-role-v0 角色并继续操作。 -
在导航窗格中,选择 Policies(策略)。
-
在策略搜索窗格中,查找并删除客户管理型 IAM 策略。例如,在步骤 4 的示例 IAM 策略中删除以下客户管理型策略:
AWSQuickSightRedshiftPolicy
AWSQuickSightRDSPolicy
AWSQuickSightIAMPolicy
AWSQuickSightS3Policy
AWSQuickSightS3ConsumersPolicy
**注意:**上述策略仅涵盖与 Quick Suite 相关的有限数量的服务。要完全解决 IAM 策略冲突,请移除所有直接通过 IAM 添加的与 Quick Suite 关联的客户管理型策略。
恢复 Quick Suite 对 AWS 服务的访问权限
完成以下步骤:
- 打开 Quick Suite 控制台。
- 在应用程序栏上选择您的用户名,然后选择 Manage Quick Suite(管理 Quick Suite)。
- 在导航窗格的 Permissions(权限)下,选择 AWS resources(AWS 资源)。
- 对于 Quick Suite access to AWS services(Quick Sight 访问 AWS 服务的权限),请选择要恢复的 AWS 服务。
- 选择 Save(保存)。
**注意:**当您允许 Quick Suite 访问 AWS 资源时,Quick Suite 会使用 AWS 托管式策略。例如,Quick Suite 会使用 AWSQuicksightAthenaAccess 策略来控制对特定 AWS 资源的访问权限。您无法移除 AWS 托管式策略。
有关如何为 Quick Sight 配置对其他 AWS 服务中资源的访问权限的详细信息,请参阅配置 Amazon Quick Sight 对 AWS 数据来源的访问权限。
