在注册Workspace目录时缺少“workspaces:RegisterWorkspaceDirectory”权限。

0

【以下的问题经过翻译处理】 您好,我正在使用 Terraform 来配置新的 Amazon Workspaces。我创建了一个 AD 连接器并将其链接到我们的内部域。下一步是创建Workspace目录。创建的一部分是使用 Terraform“aws_workspaces_directory”资源将目录链接到 AD 连接器。但是,即使下面的用户被授予 AmazonWorkSpacesAdmin 和 AWSDirectoryServiceFullAccess 权限策略,我在运行 Terraform 代码时也遇到了以下错误。

Error: error registering WorkSpaces Directory (d-xxxxxxxxxx): AccessDeniedException: User: arn:aws:iam::xxxxx:user/xxxx is not authorized to perform: workspaces:RegisterWorkspaceDirectory on resource: arn:aws:workspaces:us-east-1:xxxxx:directory/d-xxxxxxx because no identity-based policy allows the workspaces:RegisterWorkspaceDirectory action

有没有人知道授予“workspaces:RegisterWorkspaceDirectory”操作需要什么权限策略?如果我没看错,是用户没有权限向 AD 连接器注册Workspace目录?如果是这样,我如何检查谁对 AD Connector 有这样的权限?

谢谢。

1 回答
0

【以下的回答经过翻译处理】 除了授予“AdministratorAccess”外,我无法在任何托管的策略(包括“AmazonWorkSpacesAdmin”)中找到该权限,因此建议您向IAM用户附加类似以下的内联策略[1]:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:RegisterWorkspaceDirectory",
      ],
      "Resource": "*"
    }
  ]
}

如果您遇到更多类似的错误,则可能需要添加更多权限(或仅添加workspaces:*)。

查看[文档](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/workspaces_directory),如果您尚未创建[workspaces_DefaultRole](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#create-default-role),则还需要创建它。

[1]https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html

profile picture
专家
已回答 10 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则