Итак, мой менеджер ушел из компании несколько месяцев назад, предоставив мне управлять вещами самостоятельно, и теперь я просматриваю события облачного трейла и обнаружил, что в одной из наших учетных записей у меня есть явный запрет на их просмотр. .
Вот немного предыстории. У нас есть учетная запись root, из которой мы берем на себя роль администратора в других учетных записях, когда я беру на себя роль администратора в производственной учетной записи, я получаю явное сообщение об ошибке отказа при попытке просмотреть события облачного следа.
Я просмотрел все политики, которые имеют эффект «Запретить» где угодно, но ничего похожего не связано. Кроме того, я предполагаю, что роль администратора не связана с какой-либо политикой, кроме политики разрешения всех. И все же я получаю то же сообщение об ошибке явного отказа.
Любой волшебный инструмент, который я могу использовать, чтобы понять, откуда исходит явное отрицание?
Лучше всего, если вы считаете, что IAM отказывает вам в доступе, - это использовать AWS Policy Simulator, чтобы выяснить это.
https://policysim.aws.amazon.com/
Войдите в учетную запись с ролью, которую вы предполагаете, затем откройте имитатор политики. В селекторе выберите роль, которую вы принимаете, а из сервисов выберите CloudTrail. Выберите набор действий, таких как просмотр или чтение журналов, и используйте кнопку запуска / проверки.
Обычно Симулятор Политики помогает указать, какая политика вас блокирует. Для ролей с несколькими присоединенными политиками обычно можно также отменить выбор политик по одной в порядке исключения.
Больше информации здесь: https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html