Comment résoudre les erreurs de refus explicite de SCP dans AWS Organizations ?

Lecture de 3 minute(s)
0

Un message d'erreur de refus explicite similaire à celui qui suit a été envoyé à mon compte membre AWS Organizations : « L'entité IAM n'est pas autorisée à effectuer une action API sur la ressource : arn:aws:iam::123456789012:role/Admin avec un refus explicite dans une politique de contrôle des services ».

Brève description

Les politiques de contrôle des services (SCP) peuvent être utilisées pour gérer les autorisations dans les comptes membres AWS Organizations. Par contre, les SCP ne confèrent pas d'autorisations aux identités AWS Identity and Access Management (IAM) de votre organisation.

Pour accorder l'accès à une action d'API, la politique basée sur l'identité SCP et IAM doit autoriser l'accès au compte du membre.

Résolution

Pour confirmer que l'erreur de refus explicite s'est produite parce qu'un SCP a refusé la demande, utilisez l'historique des événements AWS CloudTrail pour rechercher le nom de l'événement. Ensuite, depuis le compte de gestion AWS Organizations, utilisez la console Organizations pour supprimer ou modifier la politique afin d'autoriser la demande d'action d'API.

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la page Résoudre les erreurs liées à AWS CLI. Veillez également que vous utilisez la version la plus récente de l'interface de programmation d'AWS.

Consultez l'historique des événements CloudTrail

Ouvrez la console CloudTrail

Tous les services et intégrations pris en charge ainsi que les types d'événements, tels que les activités de création, de modification, de suppression et les activités non modifiables, peuvent être affichés au cours des 90 derniers jours. Il n'est pas nécessaire de configurer une base de données pour utiliser l'historique des événements de CloudTrail.

Pour obtenir des instructions, consultez la section Affichage des événements CloudTrail récents dans la console CloudTrail.

Utiliser l’interface de ligne de commande AWS

Exécutez la commande lookup-events de l'interface de ligne de commande AWS pour rechercher les événements de gestion ou les événements CloudTrail Insights des 90 derniers jours.

Exécutez la ]() commande [ filter-log-events pour appliquer des filtres métriques afin de rechercher des termes, des phrases et des valeurs spécifiques dans les événements de votre journal. Vous pouvez ensuite les remplacer par des métriques et des alarmes CloudWatch.

Pour en savoir plus, consultez la page Syntaxe des modèles de filtres pour les filtres de métriques, les filtres d'abonnements, les filtres d'événements du journal et Live Tail.

Utilisez la console AWS Organizations pour supprimer ou modifier le SCP

Procédez comme suit :

  1. Ouvrez la ]() console [ AWS Organizations avec votre compte de gestion AWS Organization.
  2. Dans le volet de navigation, choisissez ** AWS accounts**, puis choisissez le compte membre concerné.
  3. Choisissez l'**onglet ** Politiques, puis passez en revue tous les SCP appliqués qui limitent l'accès aux actions de l'API.
  4. Pour modifier la politique, sélectionnez le SCP, choisissez ** Modifier la politique**. Après avoir modifié la politique, choisissez ** Enregistrer les modifications**.
    -ou-
    Pour supprimer la politique, sélectionnez le SCP, puis choisissez ** Supprimer **
    -ou-
    Pour détacher la politique, sélectionnez le SCP, puis choisissez ** Détacher**.

À partir du compte membre, exécutez à nouveau l'action d'API pour confirmer que l'erreur de refus explicite est résolue.

Pour plus d'informations, consultez la section Affichage des informations pour les organisations (console).

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 3 mois