IAM 角色问题排查
使用此处的信息可帮助您诊断和修复在使用 IAM 角色时可能遇到的常见问题。
主题
我无法担任角色
请检查以下事项:
-
确保使用角色的确切名称,因为角色名称区分大小写。
-
验证您的 IAM 策略是否向您授予为要担任的角色调用
sts:AssumeRole的权限。您的 IAM 策略的Action元素必须允许您调用AssumeRole操作。此外,您的 IAM 策略的Resource元素必须指定您要带入的角色。例如,Resource元素可以按其 Amazon 资源名称 (ARN) 或按通配符 (*) 指定角色。例如,至少一个适用于您的策略必须授予与以下权限类似的权限:"Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws-cn:iam::account_id_number:role/role-name-you-want-to-assume" -
验证您的 IAM 身份是否标记有 IAM 策略需要的任何标签。例如,在以下策略权限中,
Condition元素要求您(因为委托人请求担任该角色)必须具有特定标签。您必须被标记有department = HR或department = CS。否则,您无法担任该角色。要了解如何标记 IAM 用户和角色,请参阅标记 IAM 实体。"Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "*", "Condition": {"StringEquals": {"aws:PrincipalTag/department": [ "HR", "CS" ]}} -
确保您满足角色的信任策略中指定的所有条件。
Condition可以指定有效期、外部 ID 或请求必须来自于特定 IP 地址。请考虑以下示例:如果当前日期是指定日期以后的任意时间,则策略根本不会匹配,并且无法为您授予担任该角色的权限。"Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws-cn:iam::account_id_number:role/role-name-you-want-to-assume" "Condition": { "DateLessThan" : { "aws:CurrentTime" : "2016-05-01T12:00:00Z" } } -
验证您用于调用
AssumeRole的 AWS 账户是否为您要担任的角色的受信任实体。在角色的信任策略中将受信任实体定义为Principal。以下示例是一个信任策略,它附加到您要担任的角色。在该示例中,您登录时使用的 IAM 用户的账户 ID 必须是 123456789012。如果您的账号未在角色信任策略的Principal元素中列出,则无法担任该角色。在访问策略中为您授予何种权限无关紧要。注意,示例策略将权限限制为在 2017 年 7 月 1 日至 2017 年 12 月 31 日 (UTC 时间,这两个日期也包含在内) 之间发生的操作。如果您在上述日期范围之前或之后登录,则策略不匹配,您无法担任该角色。"Effect": "Allow", "Principal": { "AWS": "arn:aws-cn:iam::123456789012:root" }, "Action": "sts:AssumeRole", "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2017-07-01T00:00:00Z"}, "DateLessThan": {"aws:CurrentTime": "2017-12-31T23:59:59Z"} }
我的 AWS 账户中出现新角色
某些 AWS 服务要求您使用直接与该服务相链接的唯一服务角色类型。该服务相关角色由服务预定义,具有服务所需的所有权限。这样您就不必手动添加必要的权限,可以令设置服务更加轻松。有关服务相关角色的一般信息,请参阅使用服务相关角色。
在开始支持服务相关角色时,您可能已在使用服务。如果事实如此,您可能会收到一封电子邮件,告知您账户中将有新角色。该角色包括此项服务代表您执行操作所需的所有权限。您不需要执行任何操作支持该角色。但是,您不能从账户中删除该角色。这样会删除此项服务访问 AWS 资源所需的权限。您可以转至 IAM 控制台的 IAM 角色页面来查看您的账户中的服务相关角色。服务相关角色在表的 Trusted entities 列中随 (Service-linked role) 一起显示。
有关哪些服务支持服务相关角色的信息,请参阅使用 IAM 的 AWS 服务并查找服务相关角色列为是的服务。有关使用某个服务的服务相关角色的信息,请选择 Yes 链接。
我无法编辑或删除我的 AWS 账户中的角色
您不能删除或编辑 IAM 中的服务相关角色的权限。这些角色包括服务代表您执行操作所需的预定义信任和权限。您可以使用 IAM 控制台、AWS CLI 或 API 仅编辑服务相关角色的描述。您可以转至控制台中的 IAM Roles (角色) 页面来查看您的账户中的服务相关角色。服务相关角色在表的 Trusted entities 列中随 (Service-linked role) 一起显示。角色的 Summary 页面上的横幅也指示角色是服务相关角色。您只能通过链接的服务管理和删除这些角色 (如果该服务支持此操作)。修改或删除服务相关角色时要小心,因为这样做可能会删除服务访问 AWS 资源所需的权限。
有关哪些服务支持服务相关角色的信息,请参阅使用 IAM 的 AWS 服务并查找服务相关角色列为是的服务。
未授权我执行:iam:PassRole
在创建服务相关角色时,您必须有权将该角色传递给服务。在某些服务中执行操作时,该服务自动在您的账户中创建一个服务相关角色。例如,在首次创建 Auto Scaling
组时,Amazon EC2 Auto Scaling 为您创建 AWSServiceRoleForAutoScaling 服务相关角色。如果您尝试创建 Auto Scaling 组而没有 PassRole 权限,则会出现以下错误:
ClientError: An error occurred (AccessDenied) when calling the PutLifecycleHook
operation: User: arn:aws:sts::111122223333:assumed-role/Testrole/Diego is not authorized
to
perform: iam:PassRole on resource:
arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling
要纠正该错误,请要求管理员为您添加 iam:PassRole 权限。
要了解哪些服务支持服务相关角色,请参阅使用 IAM 的 AWS 服务。要了解服务是否自动为您创建服务相关角色,请选择是链接以查看服务的服务相关角色文档。
为什么我无法在 12 小时会话中担任角色?(AWS CLI、AWS API)
在使用 AWS STS AssumeRole* API 或 assume-role* CLI 操作担任角色时,您可以为 DurationSeconds 参数指定一个值。您可以指定 900 秒 (15 分钟) 到角色的最大 CLI/API 会话持续时间设置之间的值。如果指定的值高于该设置,操作将失败。该设置的最大值为 12 小时。例如,如果您指定的会话持续时间为 12 小时,但管理员设置的最大会话持续时间为 6
小时,您的操作将失败。要了解如何查看您的角色的最大值,请参阅查看角色的最大会话持续时间设置。
如果您使用角色链 (使用一个角色担任另一个角色),您的会话限制为最多 1 小时。如果您随后使用 DurationSeconds 参数提供大于 1 小时的值,操作将失败。
我的角色具有一个允许我执行操作的策略,但出现“访问被拒绝”错误
您的角色会话可能受会话策略的限制。以编程方式使用 AWS STS 请求临时安全凭证时,您可以选择传递内联或托管会话策略。会话策略是高级策略,在以编程方式为角色创建临时凭证会话时,这些策略将作为参数进行传递。您可以使用 Policy 参数传递单个 JSON 内联会话策略文档。您可以使用 PolicyArns 参数指定最多 10 个托管会话策略。生成的会话的权限是角色的基于身份的策略与会话策略的交集。或者,如果您的管理员或自定义程序为您提供临时凭证,它们可能已包含会话策略以限制您的访问。