AWS: Как определить, где находится явное отрицание исходит от?
Итак, мой менеджер ушел из компании несколько месяцев назад, оставив меня управлять делами самостоятельно, и теперь я просматриваю события облачного следа и обнаружил, что в одном из наши аккаунты, я категорически отказываюсь их просматривать.
Вот некоторые предыстории. У нас есть учетная запись root, из которой мы берем на себя роль администратора в других учетных записях, когда я беру на себя роль администратора в производственной учетной записи, я получаю явное сообщение об ошибке отказа при попытке просмотреть события облачного следа.
Я просмотрел все политики, которые имеют эффект «Запретить» где-либо, но ничего похожего не имеет. Кроме того, я предполагаю, что роль администратора не связана с какой-либо политикой, кроме политики разрешения всех. И все же я получаю то же сообщение об ошибке явного отказа.
Любой волшебный инструмент, который я могу использовать, чтобы понять, откуда исходит явное отрицание?
Ваш лучший выбор, если Вы думаете, что это, я запрещаю Вас доступа, должен использовать Средство моделирования политики AWS для понимания этого.
https://policysim.aws.amazon.com /
Вход в систему учетной записи, которая имеет роль, которую Вы принимаете, затем открытое средство моделирования политики. От селектора выберите роль, которую Вы принимаете, и от сервисов выбирают CloudTrail. Выберите набор действий как просмотр или чтение журналов и использования кнопка выполнения/проверки.
Обычно Средство моделирования политики способно указывать, какая политика блокирует Вас. Поскольку роли с несколькими политиками присоединили Вас, может обычно также отменять выбор политик один за другим как процесса устранения.
[еще 116] информация здесь: https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html