Tom*_*ino 7 amazon-web-services amazon-iam
因此,我的经理几个月前离开了公司,让我自己管理事务,现在,我正在查看云跟踪事件,发现在我们的一个帐户中,我明确拒绝查看它们。
这是一些背景。我们有一个根帐户,从中我们在其他帐户中承担管理员角色,当我在生产帐户中承担管理员角色时,在尝试查看云跟踪事件时收到明确的拒绝错误消息。
我一直在查看所有对他们有“拒绝”效果的政策,但看起来没有任何相关。此外,我假设的管理员角色不链接到除允许所有策略之外的任何策略。然而,我收到了同样的显式拒绝错误消息。
我可以使用任何神奇的工具来理解显式拒绝的来源吗?
如果您认为 IAM 拒绝您访问,您最好的选择是使用 AWS 策略模拟器来解决问题。
https://policysim.aws.amazon.com/
登录具有您所担任角色的帐户,然后打开策略模拟器。从选择器中选择您承担的角色,然后从服务中选择 CloudTrail。选择一系列操作,例如查看或读取日志,然后使用运行/检查按钮。
通常,策略模拟器擅长指出哪个策略阻止了您。对于附加了多个策略的角色,您通常还可以一项一项地取消选择策略,作为消除过程。
更多信息请参见:https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html
| 归档时间: |
|
| 查看次数: |
1714 次 |
| 最近记录: |