儘管擁有 AmazonRoute53FullAccess 權限，AWS 控制台中仍出現「route53:ListHostedZones with an Explicit Deny」錯誤

Question

檢查 CC-MFA-USER 策略。

根據附加到您帳戶的策略名稱，我懷疑有一項策略會拒絕訪問，除非使用 MFA 進行身份驗證。

AWS 提供了一個範例策略：https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam_mfa-selfmanage.html

在上面的範例中，最後一條語句將拒絕訪問，除非您使用 MFA 進行了身份驗證：

{
    "Sid": "BlockMostAccessUnlessSignedInWithMFA",
    "Effect": "Deny",
    "NotAction": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:ListMFADevices",
        "iam:ListUsers",
        "iam:ListVirtualMFADevices",
        "iam:ResyncMFADevice"
    ],
    "Resource": "*",
    "Condition": {
        "BoolIfExists": {
            "aws:MultiFactorAuthPresent": "false"
        }
    }
}

將 MFA 與 AWS CLI 結合使用有幾個選項：

https://stackoverflow.com/a/41965046/2454476— 這似乎是最簡單的選項，但我自己沒有使用過它，而且它可能在舊版的 CLI 上不可用
https://stackoverflow.com/a/34796136/2454476— 這應該適用於任何版本的 CLI，但涉及一些額外的步驟。

Answer 1

檢查 CC-MFA-USER 策略。

根據附加到您帳戶的策略名稱，我懷疑有一項策略會拒絕訪問，除非使用 MFA 進行身份驗證。

AWS 提供了一個範例策略：https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam_mfa-selfmanage.html

在上面的範例中，最後一條語句將拒絕訪問，除非您使用 MFA 進行了身份驗證：

{
    "Sid": "BlockMostAccessUnlessSignedInWithMFA",
    "Effect": "Deny",
    "NotAction": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:ListMFADevices",
        "iam:ListUsers",
        "iam:ListVirtualMFADevices",
        "iam:ResyncMFADevice"
    ],
    "Resource": "*",
    "Condition": {
        "BoolIfExists": {
            "aws:MultiFactorAuthPresent": "false"
        }
    }
}

將 MFA 與 AWS CLI 結合使用有幾個選項：

https://stackoverflow.com/a/41965046/2454476— 這似乎是最簡單的選項，但我自己沒有使用過它，而且它可能在舊版的 CLI 上不可用
https://stackoverflow.com/a/34796136/2454476— 這應該適用於任何版本的 CLI，但涉及一些額外的步驟。

儘管擁有 AmazonRoute53FullAccess 權限，AWS 控制台中仍出現「route53:ListHostedZones with an Explicit Deny」錯誤

答案1

相關內容