主页 / server / 问题 / 1117532
Accepted
ernest
Asked: 2022-12-08 14:52:21 +0800 CST

尽管具有 AmazonRoute53FullAccess 权限,但 AWS 控制台中出现“route53:ListHostedZones with an explicit deny”错误

  • 772

我正在尝试在 AWS 控制台中运行此命令:

aws route53 list-hosted-zones

我正在使用我的访问密钥/秘密,它在模拟账户中运行良好。我和我的团队核实过,我有AmazongRoute53FullAccess权限:

在此处输入图像描述

这是完整的错误消息:

PS C:\Users...> aws route53 list-hosted-zones --no-paginate

调用 ListHostedZones 操作时发生错误 (AccessDenied):User: arn:aws:iam::362327418951:user/userName is not authorized to perform: route53:ListHostedZones with an explicit deny in an identity-based policy

amazon-web-services

1 个回答

  1. Best Answer

    检查 CC-MFA-USER 策略。

    根据附加到您帐户的策略名称,我怀疑存在拒绝访问的策略,除非使用 MFA 进行身份验证。

    AWS 提供了一个示例策略:https ://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam_mfa-selfmanage.html

    在上面的示例中,最后一条语句拒绝访问,除非您使用 MFA 进行身份验证:

    {
    "Sid": "BlockMostAccessUnlessSignedInWithMFA",
    "Effect": "Deny",
    "NotAction": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:ListMFADevices",
        "iam:ListUsers",
        "iam:ListVirtualMFADevices",
        "iam:ResyncMFADevice"
    ],
    "Resource": "*",
    "Condition": {
        "BoolIfExists": {
            "aws:MultiFactorAuthPresent": "false"
        }
    }
}

    将 MFA 与 AWS CLI 结合使用有几个选项:

    • 1

相关问题