Проблема
У меня есть пользователь IAM и роль IAM. Я пытаюсь настроить пользователя IAM для получения разрешения на принятие роли IAM с использованием STS. Я не уверен, почему я получаю сообщение об ошибке «Отказано в доступе».
Подробности
Роль IAM: arn:aws:iam::123456789:role/athena_access
Пользователь IAM: arn:aws:iam::123456789:user/athena-external-user
Политика пользователя IAM, разрешающая принятие роли:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "StsAssumeRole",
"Effect": "Allow",
"Action": "sts:*",
"Resource": "arn:aws:iam::123456789:role/athena_access"
}
]
}
Код:
import boto3
os.environ['AWS_ACCESS_KEY_ID'] = '...'
os.environ['AWS_SECRET_ACCESS_KEY'] = '...'
client = boto3.client('sts')
role_to_assume_arn='arn:aws:iam::123456789:role/athena_access'
role_session_name='test_session'
response=client.assume_role(
RoleArn=role_to_assume_arn,
RoleSessionName=role_session_name
)
Ошибка:
botocore.exceptions.ClientError: Произошла ошибка (AccessDenied) при вызове операции AssumeRole:Пользователь: arn: aws: iam :: 123456789: пользователь / athena-external-user не авторизован для выполнения: sts: AssumeRole для ресурса: arn: aws: iam :: 123456789: role / athena_access