堆栈内存溢出
  繁体   English   中英

通过 boto3 担任 IAM 用户角色时访问被拒绝

[英]Access denied when assuming role as IAM user via boto3

 原文  2019-10-29 22:09:16       python/ amazon-web-services/ boto3/ amazon-iam

问题描述

问题

我有一个 IAM 用户和一个 IAM 角色。 我正在尝试将 IAM 用户配置为有权使用 STS 代入 IAM 角色。 我不确定为什么会收到“拒绝访问”错误。

细节

IAM 角色: arn:aws:iam::123456789:role/athena_access

IAM 用户: arn:aws:iam::123456789:user/athena-external-user

允许代入角色的 IAM 用户策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "StsAssumeRole",
            "Effect": "Allow",
            "Action": "sts:*",
            "Resource": "arn:aws:iam::123456789:role/athena_access"
        }
    ]
}

代码:

import boto3
os.environ['AWS_ACCESS_KEY_ID'] = '...'
os.environ['AWS_SECRET_ACCESS_KEY'] = '...'

client = boto3.client('sts')
role_to_assume_arn='arn:aws:iam::123456789:role/athena_access'
role_session_name='test_session'
response=client.assume_role(
    RoleArn=role_to_assume_arn,
    RoleSessionName=role_session_name
)

错误:

botocore.exceptions.ClientError:调用 AssumeRole 操作时发生错误 (AccessDenied):用户:arn:aws:iam::123456789:user/athena-external-user 无权执行:sts:AssumeRole on resource:arn: aws:iam::123456789:role/athena_access

1 个解决方案

解决方案1
 2 已采纳  2019-10-29 22:23:17

当然,我在发布问题后不久就找到了解决方案。

IAM 角色需要为将担任该角色的用户制定 TrustRelationship 策略。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com",
        "AWS": "arn:aws:iam::123456789:user/athena-external-user"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 在 python 中使用 boto3 多次承担 IAM 角色 Boto3:如何承担 IAM 角色以访问其他帐户 我们如何在不使用秘密访问密钥的情况下使用带有 IAM 角色的 boto3 连接到 Amazon CloudWatch 使用Boto3启动具有IAM角色的EC2实例时,发生未经授权的操作错误 使用 Boto3 将 IAM 用户附加到 IAM 组 Python 中的 RDS 连接使用 Boto3 和 IAM 角色 AWS Boto3 无凭证错误 IAM 角色 K8S 使用 boto3 创建帐户后,如何通过电子邮件自动邀请 IAM 用户? python boto3将IAM角色附加/替换为ec2 boto3 s3 文件上传使用 IAM 角色进行身份验证
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM