AWS cli: не разрешено выполнять: sts: AssumeRole на ресурсе

Question

У меня есть учетная запись AWS, в которой я принимаю роль с именем A (role-A), из этой роли я создал другую роль с именем B (role-B) через веб-консоль и прикрепил политику администратора к эта роль

Вот конфигурация кли

[default]
aws_access_key_id = <>
aws_secret_access_key = <>
region = eu-central-1

[role-B]
role_arn = arn:aws:iam::<id>:role/ics-role
mfa_serial = arn:aws:iam::<id>:mfa/<name>
external_id = <name>
source_profile = default

role-B, которую я создал из role-A

Когда я пытаюсь получить детали роли

aws --profile role-B sts get-caller-identity

Я получаю следующую ошибку

Произошла ошибка (AccessDenied) при вызове операции AssumeRole: Пользователь: arn: aws: iam :: <>: пользователь / <> не разрешено выполнять: sts: AssumeRole на ресурсе: arn: aws: iam :: <>: role / ics-role

Answer 1

Вам потребуется проверить документ политики доверительных отношений роли iam, чтобы убедиться, что в нем участвует ваш пользователь.

Кроме того, убедитесь, что у пользователя iam есть явные разрешения, позволяющие ему принять эту роль.

Доверительные отношения должны выглядеть примерно так:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::1234567890:user/person",
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}