将策略附加到角色时出现错误。
0
【以下的问题经过翻译处理】 你好,我尝试将一个策略附加到一个角色上。具体来说,我试图将SNS附加到一个角色上,但我得到了这个错误信息。
“未添加AmazonSNSFullAccess策略。 无法对受保护的角色'AWSReservedSSO_Developer-permission-set'执行该操作-此角色只能由AWS进行修改。 "
我还尝试创建一个新的角色并将其附加到用户帐户,但似乎并没有给他们访问SNS的权限,即使这是策略的一部分。
我希望能够像之前使用其他服务一样,直接将策略附加到角色上来实现这个目标。
感谢提供的任何帮助。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 AWSReservedSSO_*角色受到各自AWS账户的保护,并且只能通过在AWS Single Sign On中更新权限集来修改(然后将其传播到账户)。您可以在SSO文档中找到一些关于权限集的指导。您需要登录您的管理账户才能访问AWS SSO(假设您尚未利用最近的启动来支持委派SSO)。
如果您不能实现这一点,那么您可能可以通过(如您所开始的)创建一个具有所需权限的新角色,然后允许AWSReservedSSO_Developer-permission-set角色假定它(如果它被允许!)来实现它。用户将像往常一样使用AWSReservedSSO_Developer-permission-set角色登录到AWS账户,然后切换到您创建的角色以执行所需的SNS操作。请注意,当他们切换角色时,他们扮演的角色的权限将临时替换原始角色的权限,因此您需要在第二个角色中包含他们需要的任何其他权限。请参阅文档以了解如何在Console或CLI中assume角色。