![](/img/trans.png)
[英]Permission denied when calling AWS Lambda function from AWS CodePipeline
[英]Getting AccessDeniedException from Lambda function when calling AWS SSO Permission set
以下是我的 Python 代码,用于添加/更新 AWS SSO 权限集的内联策略:
# In actual code adding escape characters
Inline_Policy="
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
] "
response = client.put_inline_policy_to_permission_set(
InstanceArn='arn:aws:sso:::instance/ssoins-sssss',
PermissionSetArn='arn:aws:sso:::permissionSet/ssoins-sssss/ps-sssss',
InlinePolicy=Inline_Policy)
我收到错误:
“errorMessage”:“调用 PutInlinePolicyToPermissionSet 操作时发生错误(AccessDeniedException):用户:arn:aws:sts::ddddddd:assumed-role/Modify_Permission_Set-role-ssss/Modify_Permission_Set 无权在资源上执行:sso:PutInlinePolicyToPermissionSet : arn:aws:sso:::permissionSet/ssoins-sssss/ps-sssss"
我尝试为执行 function 的 Lambda 角色添加管理策略,但我仍然得到拒绝权限。
是否有与常规 IAM 权限不同的方式来处理 SSO 权限集?
Lambda 附带的管理政策
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
您是否检查过是否存在适用于您的帐户或组织单位 (OU) 的拒绝访问 SSO 的服务控制策略 (SCP)? https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html
如果您确保策略和权限正确,则可能是由于您所在的地区。
确保将 sso 客户端定义到激活 SSO 或身份中心的区域
例如 Python sso = boto3.client('sso-admin', region_name='deployed_sso_region')
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.