我尝试使用 AWS Identity and Access Management (IAM) 控制台修改以“AWSReservedSSO”开头的角色名称,但收到了错误。
简短描述
当您使用 IAM 控制台尝试修改以“AWSReservedSSO”开头的角色名称时,可能会收到以下错误:
“Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS”(无法对受保护角色“AWSReservedSSO_RoleName_Here”执行操作 - 此角色只能由 AWS 修改)
解决方法
您不能使用 IAM 控制台修改以“AWSReservedSSO”开头的角色。您必须使用 AWS IAM Identity Center 控制台修改以“AWSReservedSSO”开头的角色。
有关详细信息,请参阅修改 IAM 角色时出现“Cannot perform the operation on the protected role”(无法对受保护角色执行操作)错误。
按照以下步骤使用 IAM Identity Center 控制台编辑内联策略或附加客户管理型策略。
**注意:**确保您的策略在您的 AWS Organizations 成员账户中具有所需的权限。
选项 1: 编辑内联策略
- 使用您的 Organizations 管理账户打开 IAM Identity Center 控制台。
- 在导航窗格中,展开 Multi-account permissions(多账户权限),然后选择 Permission sets(权限集)。
- 在 Permission sets(权限集)中,选择要修改的权限集。
- 在 Inline policy(内联策略)中,选择 Edit(编辑)。
- 在 JSON document editor(JSON 文档编辑器)中,输入为您的用例授予权限的内联策略,然后选择 Save changes(保存更改)。
选项 2: 附加客户管理型策略
- 使用您的 Organizations 管理账户打开 IAM Identity Center 控制台。
- 在导航窗格中,展开 Multi-account permissions(多账户权限),然后选择 Permission sets(权限集)。
- 在 Permission sets(权限集)中,选择要将托管策略附加到的权限集。
- 在 Customer managed policies(客户管理型策略)中,选择 Attach policies(附加策略)。
- 在策略名称中,输入您的成员账户中托管策略的名称,然后选择 Attach policies(附加策略)。
相关信息
如何使用 IAM Identity Center 权限集?
单点登录访问 AWS 账户