调用 AWS SSO 权限集时从 Lambda function 获取 AccessDeniedException

Question

以下是我的 Python 代码，用于添加/更新 AWS SSO 权限集的内联策略：

# In actual code adding escape characters 
Inline_Policy=" 
   "Version": "2012-10-17",
   "Statement": [
        {
          "Action": [
                     "s3:Get*",  
                      "s3:List*"
            ],
    "Effect": "Allow",
    "Resource": "*"
   }
] "

response = client.put_inline_policy_to_permission_set(
InstanceArn='arn:aws:sso:::instance/ssoins-sssss',
PermissionSetArn='arn:aws:sso:::permissionSet/ssoins-sssss/ps-sssss',
InlinePolicy=Inline_Policy)

我收到错误：

“errorMessage”：“调用 PutInlinePolicyToPermissionSet 操作时发生错误（AccessDeniedException）：用户：arn:aws:sts::ddddddd:assumed-role/Modify_Permission_Set-role-ssss/Modify_Permission_Set 无权在资源上执行：sso:PutInlinePolicyToPermissionSet : arn:aws:sso:::permissionSet/ssoins-sssss/ps-sssss"

我尝试为执行 function 的 Lambda 角色添加管理策略，但我仍然得到拒绝权限。

是否有与常规 IAM 权限不同的方式来处理 SSO 权限集？

Lambda 附带的管理政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Answer 1

您是否检查过是否存在适用于您的帐户或组织单位 (OU) 的拒绝访问 SSO 的服务控制策略 (SCP)？ https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html

Answer 2

如果您确保策略和权限正确，则可能是由于您所在的地区。

确保将 sso 客户端定义到激活 SSO 或身份中心的区域

例如 Python sso = boto3.client('sso-admin', region_name='deployed_sso_region')

调用 AWS SSO 权限集时从 Lambda function 获取 AccessDeniedException

问题描述

2 个解决方案

解决方案1
0 2021-12-07 10:58:13

解决方案2
0 2022-12-05 01:52:45

调用 AWS SSO 权限集时从 Lambda function 获取 AccessDeniedException

问题描述

2 个解决方案

解决方案1 0 2021-12-07 10:58:13

解决方案2 0 2022-12-05 01:52:45

解决方案1
0 2021-12-07 10:58:13

解决方案2
0 2022-12-05 01:52:45