AWSSecurityTokenServiceException:访问被拒绝。用户无权执行 sts:AssumeRole
问题描述 投票:0回答:1
我是 AWS 新手。我想为 aws 调用生成临时凭证。为此,我使用使用 IAM 用户临时凭证发出请求 - 适用于 Java 的 AWS 开发工具包
中的示例我经过的地方
String clientRegion = "<specific region>";
String roleARN = "<ARN from role>";
String roleSessionName = "Just random string"; //<-- maybe I should pass specific SessionName?
String bucketName = "<specific bucket name>";
当尝试扮演角色时
stsClient.assumeRole(roleRequest);
出现错误
com.amazonaws.services.securitytoken.model.AWSSecurityTokenServiceException: 用户:arn:aws:iam:::user/ 无权执行:
sts:AssumeRole on resource: arn:aws:iam::<ID>:role/<ROLE_NAME> (Service: AWSSecurityTokenService; Status Code: 403; Error Code:访问被拒绝;请求ID:)
我有一个“认知”角色。
我认为问题出在角色信任关系设置上。
看起来像这样:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<iam user ID>:user/<USER_NAME>",
"Federated": "cognito-identity.amazonaws.com"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"cognito-identity.amazonaws.com:aud": "<user pool ID>"
},
"ForAnyValue:StringLike": {
"cognito-identity.amazonaws.com:amr": "authenticated"
}
}
}
]
}
和用户策略
(此用户策略也附加到此角色):
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<sidId1>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::<path>*"
]
},
{
"Sid": "sidId2",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity"
],
"Resource": [
"arn:aws:iam::<ID>:role/<ROLE_NAME>"
]
}
]
}
用户政策有两个警告:UPD
我改变了角色信任关系,只需删除条件:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "cognito-identity.amazonaws.com",
"AWS": "arn:aws:iam::<ID>:user/<USER>"
},
"Action": [
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity"
]
}
]
}
现在访问被拒绝
另一行代码发生错误:
// Verify that assuming the role worked and the permissions are set correctly
// by getting a set of object keys from the bucket.
ObjectListing objects = s3Client.listObjects(bucketName);
收到错误响应:com.amazonaws.services.s3.model.AmazonS3Exception:访问被拒绝(服务:Amazon S3;状态代码:403;错误代码:AccessDenied;请求 ID:),S3 扩展请求 ID:
1个回答
投票
关于另一个错误,正如 @user818510 所提到的,您的角色没有 s3:ListBucket 操作的权限。
最新问题
- Reshape 似乎正在失去观察结果
- 如何解析其中包含属性的 XML 元素?安卓、科特林
- Visual Studio Code 为任何笔记本运行抛出错误文件描述符
- 如何使 Tk 小部件从左到右、然后从上到下流动?
- PHP XML 用现有 XML 文件上的文本替换节点值
- JS - 如果 var 为空,则设置值简写[重复]
- 我每次都必须执行 npm init、npm start 和 npm install 吗?
- Google Drive API 403/401 错误
- 在x86-64中,如何打印数组的所有元素?
- 如何通过 PHP 将品牌添加到 WooCommerce 产品架构?
- 如何将数据框作为表保存到databricks数据库
- 从配置kafkalistener中读取
- 打开哪些工件文件类型以及下载哪些类型?
- 样式未应用于我的导航栏,不确定为什么
- 无法使用 Selenium 启动 Firefox 浏览器
- Redis 服务器 - Windows 11 上的本地主机
- 我可以在字符串中插入变量吗?
- 如何重新启用标尺中的折叠箭头
- 错误 508 MERCHANT_ID 字段中的数据无效。请联系商家
- !加入 Serverless 框架已损坏