AWSSecurityTokenServiceException:访问被拒绝。用户无权执行 sts:AssumeRole
问题描述 投票:0回答:1
我是 AWS 新手。我想为 aws 调用生成临时凭证。为此,我使用使用 IAM 用户临时凭证发出请求 - 适用于 Java 的 AWS 开发工具包
中的示例我经过的地方
String clientRegion = "<specific region>";
String roleARN = "<ARN from role>";
String roleSessionName = "Just random string"; //<-- maybe I should pass specific SessionName?
String bucketName = "<specific bucket name>";
当尝试扮演角色时
stsClient.assumeRole(roleRequest);
出现错误
com.amazonaws.services.securitytoken.model.AWSSecurityTokenServiceException: 用户:arn:aws:iam:::user/ 无权执行:
sts:AssumeRole on resource: arn:aws:iam::<ID>:role/<ROLE_NAME> (Service: AWSSecurityTokenService; Status Code: 403; Error Code:访问被拒绝;请求ID:)
我有一个“认知”角色。
我认为问题出在角色信任关系设置上。
看起来像这样:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<iam user ID>:user/<USER_NAME>",
"Federated": "cognito-identity.amazonaws.com"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"cognito-identity.amazonaws.com:aud": "<user pool ID>"
},
"ForAnyValue:StringLike": {
"cognito-identity.amazonaws.com:amr": "authenticated"
}
}
}
]
}
和用户策略
(此用户策略也附加到此角色):
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<sidId1>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::<path>*"
]
},
{
"Sid": "sidId2",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity"
],
"Resource": [
"arn:aws:iam::<ID>:role/<ROLE_NAME>"
]
}
]
}
用户政策有两个警告:UPD
我改变了角色信任关系,只需删除条件:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "cognito-identity.amazonaws.com",
"AWS": "arn:aws:iam::<ID>:user/<USER>"
},
"Action": [
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity"
]
}
]
}
现在访问被拒绝
另一行代码发生错误:
// Verify that assuming the role worked and the permissions are set correctly
// by getting a set of object keys from the bucket.
ObjectListing objects = s3Client.listObjects(bucketName);
收到错误响应:com.amazonaws.services.s3.model.AmazonS3Exception:访问被拒绝(服务:Amazon S3;状态代码:403;错误代码:AccessDenied;请求 ID:),S3 扩展请求 ID:
1个回答
投票
关于另一个错误,正如 @user818510 所提到的,您的角色没有 s3:ListBucket 操作的权限。
最新问题
- Spring Cloud Hystrix 无法在服务器端工作
- 如何在next.js应用程序中显示来自API的消息?
- 正则表达式最多匹配 9 个数字。字符后跟“ml”和这 9 个数字。字符不在 1900-2199 之间,但不是后跟 2 个数字的引用字符。数字
- 在 SwiftUI 中的任何视图之上呈现自定义视图
- 根据条件将一个 df 中的 NA 替换为另一个 df 中的值
- 为什么我的 Node.js 服务器针对有效路由返回 404 错误? [重复]
- SQL 性能 - OR 语句的替代方案
- sql server 表上的独占用户所有权
- 如何将对象的 JSON 数组的列更改为 SQL Server 中的对象
- 优化存储过程查询
- 如何在AR.js中在指定位置显示3D物体
- 如何在 SQL 中将 min() 与其他列一起使用
- 只有 sysadmin 固定服务器角色的成员才能执行此操作。 Azure SQL Server 数据库与 SQL Server 数据库
- Laravel API 和 React 前端:在 404 中提交帖子结果后重定向到个人资料 |未找到
- FIDO2 验证器模拟器
- Laravel API 请求验证响应 application/x-www-form-urlencoded 数据
- 可以在Java控制台中创建文本框吗?
- 本项目的区域‘us-central1’中不存在Cloud Run服务‘app’
- Scons:如何强制重建?
- 在 ObservableCollection 中绑定 ObservableCollection