主页 / server / 问题 / 1021059
Accepted
am fs
Asked: 2020-06-12 08:04:22 +0800 CST

(AccessDenied) 调用UploadServerCertificate操作时:用户xxx无权执行:iam:UploadServerCertificate

  • 772

管理员将我添加为 IAM 用户。我创建了自签名证书(私钥+证书),并尝试通过创建新的经典负载均衡器来上传它们。

从昨天开始,我一直在尝试解决这个问题。起初,管理员将这些权限分配给了我:

在此处输入图像描述 然后,他尝试自己将证书添加到负载均衡器并再次:

Failed to create load balancer: Server Certificate not found for the key: 
arn:aws:iam::845477561111:server-certificate/mycertificate

最后,他给了我管理员角色,以便能够自己添加证书,但由于拒绝访问,我无法上传它们。我不明白我在哪一部分做错了。IAM 用户是否无法创建证书并将其添加到负载均衡器,无论他们拥有什么权限?

我会很感激任何帮助

load-balancing amazon-ec2 ssl amazon-web-services

1 个回答

  1. Best Answer

    上传自签名证书是一项 IAM 功能。如果您的 IAM 用户被拒绝执行iam:UploadServerCertificateiam:*(所有 IAM 函数)权限,那么您将无法上传您的证书。

    AWSCertificateManagerFullAccessIAM 政策不会帮助您解决此问题。此策略(以及所有“CertificateManager”策略)仅适用于 ACM 功能。

    由于您的管理员为您上传了证书,因此您在尝试创建负载均衡器时可能仍会遇到 IAM 权限问题。这是因为您无权“列出”可用证书,因此 AWS 会为您提供新错误:

    无法创建负载均衡器:找不到密钥的服务器证书:arn:aws:iam::845477561111:server-certificate/mycertificate

    要解决您的问题,您的管理员需要授予您使用 IAM 功能的权限。将此策略应用于您的用户将(希望)允许您将证书分配给负载均衡器:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetServerCertificate",
                "iam:UpdateServerCertificate",
                "iam:ListServerCertificates",
                "iam:UploadServerCertificate"
            ],
            "Resource": "*"
        }
    ]
}

    如果您的管理员认为您应该已经拥有这些权限,请仔细检查是否有其他策略明确拒绝您的 IAM 权限。

    还:

    IAM 用户是否无法创建证书并将其添加到负载均衡器,无论他们拥有什么权限?

    绝对不!你不能做任何你没有被授予权限的事情。

    • 2

相关问题