AWS cli：未授权执行：资源上的 sts:AssumeRole答案

【问题标题】：AWS cli: not authorized to perform: sts:AssumeRole on resourceAWS cli：未授权执行：资源上的 sts:AssumeRole
【发布时间】：2020-06-05 14:44:57
【问题描述】：

我有一个 AWS 账户，我在其中担任名为 A(role-A) 的角色，我通过 Web 控制台从该角色创建了另一个名为 B(role-B) 的角色，并将管理员策略附加到该角色

这里是cli配置

[default]
aws_access_key_id = <>
aws_secret_access_key = <>
region = eu-central-1

[role-B]
role_arn = arn:aws:iam::<id>:role/ics-role
mfa_serial = arn:aws:iam::<id>:mfa/<name>
external_id = <name>
source_profile = default

role-B 我从role-A 创建的

当我尝试获取角色详细信息时

aws --profile role-B sts get-caller-identity

我收到以下错误

调用 AssumeRole 操作时发生错误 (AccessDenied)：用户：arn:aws:iam:::user/ 无权执行：sts:AssumeRole on resource:arn:aws: iam:::role/ics-role

【问题讨论】：

标签： amazon-web-services amazon-iam aws-cli

【解决方案1】：

您需要检查 iam 角色的信任关系策略文档，以确认您的用户在其中。

另外确保 iam 用户具有允许他们担任该角色的明确权限。

信任关系应该是这样的：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::1234567890:user/person"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

【讨论】：

我在创建角色和策略附件时没有遇到任何权限问题。信任文件是什么意思
在控制台中将是信任关系，我将更新答案以包含示例。
这帮助我解决了我的问题，因为在打开信任关系选项卡时我发现设置了一个外部 ID。

【解决方案2】：

我的问题是我在策略 json 中设置了条件。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::000000000:dave"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
           // Condition set here
        }
    }]
}

我删除了条件，现在它可以正常工作了。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::000000000:dave"
        },
        "Action": "sts:AssumeRole"
    }]
}

【讨论】：