当 Windows 10 上的用户尝试在 AWS 中切换角色时,它会失败并显示
身份验证失败
我们的政策中有一条Condition规定,sts:AssumeRole仅当用户来自白名单 IP 地址时才允许角色切换。这些地址对应于我们的 NAT IP。用户用谷歌搜索“我的 IP 是什么”,它会返回我们希望看到的 NAT IP。
奇怪的是 CloudTrail 日志中的 IP 地址不是我们的 NAT IP。它归 AWS 所有。
我们已经在 Chrome 和 Firefox 中进行了尝试,结果相同。我期望发生的是用户可以毫无问题地切换角色。
使用 Windows7 或 MacOS 时不会出现此问题。
想法?
该地址76.223.160.183不是AWS地址。它不会出现在任何地区的任何宣传的 AWS 范围内。使用filter-ip-ranges验证。
虽然 IP 块归亚马逊所有,但相关的76.223.160.0/21已委托给Netskope Inc,请再次检查您的whois 输出。来自关于 Netskope 的维基百科文章:
所以我的结论是,Windows 10笔记本电脑安装了某种 Netskope 服务或插件,可将一些流量重定向到 Netskope 服务器进行检查。从那里它被转发到 AWS,但由于它来自 Netskope IP 范围,它不符合您的 IAM 条件。
顺便说一句,为什么它不会干扰“我的 IP 是什么”我不确定,可能是插件中的一些白名单。
希望有帮助:)