外部アカウントの作成に失敗し、ポリシーとサービスへのアクセスエラーを検出できない

外部アカウントの作成に失敗し、ポリシーとサービスへのアクセスエラーを検出できない

0
Created On 09/26/18 19:13 PM - Last Modified 07/19/22 23:12 PM


Symptom


兆候

外部アカウントの作成は、次のエラーメッセージで失敗します。

"我々は、役割を引き受けることができたが、ポリシーとサービスへのアクセスを検出することができません。あなたが私たちに iam を与えていることを確認してください: ListAttachedRolePolicies アクセス, とあなたがチェックしたいサービスへの読み取りアクセス. "

 

診断

明らかなサービスロールのポリシーを調べ、ロールが次のアクションを実行できることを確認します。

  1. iam: ListRoles
  2. iam: ListRolePolicies (明らかにサービスの役割)
  3. iam: ListAttachedRolePolicies (明らかにサービスの役割)
  4. iam: GetRolePolicy (すべての明白なサービスロールのインラインポリシー)
  5. iam: GetPolicy (すべての明白なサービスロールのインラインポリシー)
  6. iam: GetPolicyVersion (すべての明白なサービスロールの管理ポリシーについて )

AWS SecurityAudit には、上記のすべてのアクセス許可が含まれます。  明らかなサービスロールに SecurityAudit ロールがアタッチされている場合は、上記の1つ以上の権限を明示的に拒否するステートメントを持つ別のロールまたはポリシーが必要です。

Resolution


上記のアクションを許可するように、明白なサービスロールのポリシーを変更します。  該当する場合は、AWS SecurityAudit ロールを除き、明らかなサービスロールに関連付けられているすべてのロールとポリシーを削除します。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3XCAS&lang=ja%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail