Я работаю над созданием AWS URL-адреса консоли, следующего за Включение настраиваемого доступа Identity Broker к консоли AWS - AWS Управление идентификацией и доступом .
Я создал AWS SSO и Роли успешно. Затем я создаю учетную запись администратора IAM с приложенной политикой администратора. В администраторе пользователь IAM попытался:
aws sts assume-role --role-arn arn:aws:iam::123456789:role/rolename --role-session-name "AssumeRoleSession"
Сообщение об ошибке гласит:
Произошла ошибка (AccessDenied) при вызове операции AssumeRole: Пользователь: arn: aws: iam :: 123456789: пользователь / администратор не авторизован для выполнения: sts: AssumeRole для ресурса: arn: aws: iam :: 123456789: роль / rolename
Пользователь IAM имеет Политика AdministratorAccess, как показано ниже.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
Роль и администратор IAM находятся под одной учетной записью. На странице руководства выше не указывается предварительное условие. Вы видите, что чего-то не хватает? Я попытался отредактировать доверенные отношения, но произошел сбой с ошибкой:
Произошла ошибка: невозможно выполнить операцию с защищенной ролью 'AWSReservedSSO_ROLENAME' - эту роль можно изменить только с помощью AWS.