Comment puis-je résoudre les problèmes liés au changement de rôles IAM à l'aide de la Console de gestion AWS  ?

Lecture de 5 minute(s)
0

J'ai essayé de changer de rôle AWS Identity and Access Management (IAM) à l'aide de l'AWS Management Console et j'ai reçu une erreur similaire à la suivante : « Informations non valides dans un ou plusieurs champs. Vérifiez vos informations ou contactez votre administrateur ».

Brève description

Cette erreur peut se produire pour les raisons suivantes :

  • Autorisations d'action AssumeRole incorrectes
  • Politique de confiance IAM incorrecte
  • Refus explicite des politiques
  • ID de compte ou nom de rôle incorrect
  • Exige un identifiant externe pour changer de rôle
  • Conditions de politique de confiance incorrectes

Résolution

Suivez ces instructions pour vérifier la configuration de la Politique IAM afin de changer de rôle IAM pour votre scénario.

Autorisations d'action AssumeRole manquantes ou incorrectes

Pour passer à un rôle IAM, l'entité IAM doit disposer de l'autorisation d'action AssumeRole. L'entité IAM doit disposer d'une politique avec une autorisation d'action AssumeRole similaire à la suivante :

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume"  
}

Assurez-vous que la ressource correspond au Amazon Resource Name (ARN) du rôle IAM vers lequel vous souhaitez passer. Pour plus d'informations, consultez la section Octroi à un utilisateur d'autorisations lui permettant de changer de rôle.

La politique de confiance des rôles IAM ne fait pas confiance à l'ID de compte de l'utilisateur IAM

La politique de confiance des rôles IAM définit les principes qui peuvent assumer le rôle Vérifier que la politique de confiance répertorie l'ID de compte de l'utilisateur IAM comme entité principale approuvée. Par exemple, un utilisateur IAM nommé Bob avec l'ID de compte 111222333444 souhaite passer à un rôle IAM nommé Alice pour l'ID de compte 444555666777. L'ID de compte 111222333444 est le compte sécurisé et l'ID de compte 444555666777 est le compte de confiance. Le rôle IAM d'Alice dispose d'une politique de confiance qui fait confiance à Bob, de la manière suivante :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "AWS": "<111222333444>"
      },
      "Condition": {}
    }
  ]
}

**Remarque :**Il est recommandé de suivre le principe du moindre privilège et de spécifier l'ARN complet uniquement pour les rôles dont l'utilisateur a besoin.

Pour plus d'informations, consultez la section Modification d'une politique d'approbation des rôles (console).

Refus explicite d'appliquer des politiques de contrôle des services (SCP) ou une politique IAM

Si votre compte AWS fait partie d'une organisation AWS, votre compte de gestion peut contenir des SCP. Assurez-vous que l'action AssumeRole n'est pas explicitement refusée par les SCP. Vérifiez les SCP qui refusent les actions d'API en fonction des régions AWS. AWS Security Token Service (AWS STS) est un service mondial qui doit être inclus dans la liste globale d'exclusion des services. Assurez-vous qu'il n'y a aucun refus explicite de la part des politiques IAM, car les instructions « deny » ont priorité sur les instructions « allow ».

Pour plus d'informations, consultez Refuser l'accès à AWS en fonction de la région AWS demandée.

Vérifiez l'ID de compte AWS et le nom du rôle IAM

Vérifiez que l'ID de compte et le nom du rôle IAM sont corrects sur la page de changement de rôle. L'ID de compte est un identifiant à 12 chiffres et le nom du rôle IAM est le nom du rôle que vous souhaitez assumer.

Pour plus d'informations, consultez la section Informations à propos du changement de rôle dans la console.

Exiger un identifiant externe pour passer au rôle IAM

Les administrateurs peuvent utiliser un identifiant externe pour permettre à des tiers d'accéder aux ressources AWS. Vous ne pouvez pas remplacer les rôles IAM dans l'AWS Management Console par un rôle qui nécessite une valeur de clé de condition ExternalID. Vous pouvez passer aux rôles IAM uniquement en appelant l'action AssumeRole qui prend en charge la clé ExternalID.

Pour plus d'informations, consultez Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos ressources AWS à un tiers.

Conditions valides relatives à la politique de confiance des rôles IAM

Vérifiez que vous remplissez toutes les conditions spécifiées dans la politique de confiance du rôle IAM. Une condition peut spécifier une date d'expiration, un identifiant externe ou indiquer que les demandes doivent provenir uniquement d'adresses IP spécifiques. Dans l'exemple de politique suivant, si la date actuelle est postérieure à la date spécifiée, la condition est fausse. La politique ne peut pas accorder l'autorisation d'assumer le rôle IAM.

"Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume"
    "Condition": {
        "DateLessThan" : {
            "aws:CurrentTime" : "2016-05-01T12:00:00Z"
        }
    }

Informations connexes

Comment fournir aux utilisateurs IAM un lien leur permettant d'assumer un rôle IAM ?

Comment accéder aux ressources d'un autre compte AWS à

Quelle est la différence entre une politique de contrôle des services AWS Organizations et une politique IAM ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an