我的经理几个月前就离开了公司,留下我独自管理事情,现在,我正在查看云迹事件,发现在我们的一个帐户中,明确拒绝我查看它们。
以下是一些背景信息。我们有一个根帐户,我们通过该帐户在其他帐户中担任管理员角色,当我在生产帐户中担任管理员角色时,尝试查看云跟踪事件时收到一条明确的拒绝错误消息。
我已经查看了所有具有“拒绝”效果的策略,但看起来没有任何相关内容。此外,我假设的管理员角色与除允许所有策略之外的任何策略均无关联。然而,我收到了相同的显式拒绝错误消息。
我可以使用什么神奇的工具来了解明确拒绝的来源?
答案1
如果您认为是 IAM 拒绝您的访问,那么最好的办法是使用 AWS Policy Simulator 来解决问题。
https://policysim.aws.amazon.com/
登录到具有您要承担的角色的帐户,然后打开策略模拟器。从选择器中选择您要承担的角色,然后从服务中选择 CloudTrail。选择一系列操作(例如查看或读取日志),然后使用运行/检查按钮。
通常情况下,策略模拟器能够很好地指出哪些策略阻碍了您。对于附加了多个策略的角色,您通常也可以逐个取消选择策略,以消除策略。
更多信息请点击这里:https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html