Ich versuche, diesen Befehl in der AWS-Konsole auszuführen:
aws route53 list-hosted-zones
Ich verwende meinen Zugangsschlüssel/mein Geheimnis und es hat in einem Demokonto problemlos funktioniert. Ich habe mit meinem Team gesprochen und ich habe die AmazongRoute53FullAccessBerechtigungen:
Hier ist die vollständige Fehlermeldung:
PS C:\Benutzer...> aws route53 list-hosted-zones --no-paginate
Beim Aufrufen der Operation „ListHostedZones“ ist ein Fehler (AccessDenied) aufgetreten: Der Benutzer: arn:aws:iam::362327418951:user/userName ist nicht berechtigt, Folgendes auszuführen: route53:ListHostedZones mit einer expliziten Ablehnung in einer identitätsbasierten Richtlinie.
Antwort1
Überprüfen Sie die CC-MFA-USER-Richtlinie.
Aufgrund der Namen der mit Ihrem Konto verknüpften Richtlinien gehe ich davon aus, dass es eine Richtlinie gibt, die den Zugriff verweigert, sofern keine Authentifizierung per MFA erfolgt.
AWS stellt eine Beispielrichtlinie bereit:https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam_mfa-selfmanage.html
Im obigen Beispiel verweigert die letzte Anweisung den Zugriff, sofern Sie nicht per MFA authentifiziert sind:
{
"Sid": "BlockMostAccessUnlessSignedInWithMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
Es gibt einige Optionen für die Verwendung von MFA mit der AWS CLI:
- https://stackoverflow.com/a/41965046/2454476— dies scheint die einfachste Option zu sein, aber ich habe sie selbst nicht verwendet und sie ist möglicherweise in älteren Versionen der CLI nicht verfügbar
- https://stackoverflow.com/a/34796136/2454476– dies sollte mit jeder Version der CLI funktionieren, es sind jedoch einige zusätzliche Schritte erforderlich.