当 Windows 10 上的用户尝试在 AWS 中切换角色时,它会失败
身份验证失败
Condition我们的策略中有一个sts:AssumeRole仅允许在用户来自白名单 IP 地址时切换角色。这些地址对应于我们的 NAT IP。用户在 Google 上搜索“我的 IP 是什么”,它会返回我们期望看到的 NAT IP。
奇怪的是,CloudTrail 日志中的 IP 地址不是我们的 NAT IP。它归 AWS 所有。
我们在 Chrome 和 Firefox 中尝试过此操作,结果相同。我期望用户切换角色时不会出现问题。
使用 Windows7 或 MacOS 时不会出现此问题。
有什么想法吗?
答案1
那个地址76.223.160.183是不是 AWS地址。它不会出现在任何区域的任何广告 AWS 范围内。已验证过滤 IP 范围。
尽管 IP 块归亚马逊所有,但相关76.223.160.0/21被委托给网络公司, 检查你的whois 输出再次。从维基百科关于 Netskope 的文章:
Netskope [...] 帮助公司保护数据并防范云应用程序、云基础设施和网络中的威胁。 [...] 该解决方案将云和 Web 流量引导至云原生服务,以便进行检查和策略实施。
所以我的结论是Windows 10笔记本电脑安装了某种 Netskope 服务或插件,可将部分流量重定向到 Netskope 服务器进行检查。从那里,流量被转发到 AWS,但由于流量来自 Netskope IP 范围,因此不符合您的 IAM 条件。
顺便说一句,为什么它不干扰“我的 IP 是什么”我不确定,可能是插件中的一些白名单。
希望有帮助:)