Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

如何對我的帳戶根使用者或具有管理員權限的 IAM 實體的拒絕存取問題進行疑難排解？

1 分的閱讀內容

我想對 AWS 帳戶根使用者或具有管理員權限的 AWS Identity and Access Management (IAM) 實體收到的「拒絕存取」錯誤進行疑難排解。

簡短說明

由於以下原因，您可能會收到具有管理員權限的根使用者或 IAM 實體的拒絕存取錯誤：

服務控制政策 (SCP) 限制了對某個服務的存取。
資源型政策限限制了對某個資源的存取。
許可界限限制了您的根使用者或 IAM 實體可以執行的動作。
工作階段政策導致授權問題。
Amazon Virtual Private Cloud (Amazon VPC) 端點政策限制了存取。

解決方法

解決根使用者的授權問題

SCP 可以包含限制根使用者存取 AWS Organizations 成員帳戶的值。從附加到您組織管理帳戶的 SCP 中移除限制。

以下範例顯示了拒絕根使用者存取 Amazon Simple Storage Service (Amazon S3) 的 SCP。該 SCP 包含 aws:PrincipalArn 條件鍵，並使用 arn:aws:iam::accountID:root 格式的根 ARN 來拒絕存取：

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

解決 IAM 實體的授權問題

另一種政策類型可能會限制具有管理員層級存取權的 IAM 實體。如需詳細資訊，請參閱拒絕存取錯誤訊息疑難排解。

資源型政策 (例如 Amazon S3 儲存貯體政策) 可以限制 IAM 實體對資源的存取。確認附加到資源的資源型政策指定了 IAM 實體。有關支援資源型政策的服務清單，請參閱與 IAM 搭配使用的 AWS 服務。

如果您使用許可界限，那麼實體只能執行身分識別型政策和許可界限中允許的動作。更新許可界限，以便它允許與身分識別型政策相同的動作。

當您為共同身分使用者的 IAM 角色建立臨時工作階段時，您可以透過程式設計方式傳遞工作階段政策。若要檢查您是否已為 IAM 角色工作階段傳遞工作階段政策，請檢查 AWS CloudTrail 日誌中的 AssumeRole、AssumeRoleWithSAML 和 AssumeRoleWithWebIdentity API 呼叫。若要檢查為聯合身分使用者工作階段傳遞的工作階段政策，請檢查 CloudTrail 日誌中的 GetFederationToken API 呼叫。

如果您透過 VPC 端點路由請求，請檢查並移除相關聯 VPC 端點政策中的限制。

解決 Amazon S3 資源的「拒絕存取」錯誤訊息

若要解決 Amazon S3 資源的拒絕存取錯誤訊息，請參閱如何對 Amazon S3 的「403 拒絕存取」錯誤進行疑難排解？

解決存取帳單與成本管理主控台時的授權問題

您必須授予根使用者或 IAM 實體存取 AWS 帳單與成本管理主控台的權限。如需詳細資訊，請參閱如何針對帳單與成本管理主控台的 IAM 權限問題進行疑難排解？

若要解決授權問題，請檢查您的 IAM 實體是否已作為根使用者啟用。