問題タブ [aws-sts]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-web-services - アクションの実行を許可されていない SAML の想定ロール ユーザー
ID プロバイダーとして OKTA を使用しています。これにより、ユーザーがコンソールにログインするときにどのロールを引き受けることができるかを指定できます。
目標: ユーザーがコンソールにログインし、アクセス キー (一覧、作成、更新、削除) のみを管理できるようにするロールを用意します。
このポリシーでは、現在のユーザーが自分のキーを管理できるようにする必要がありますが、アクセス キーの一覧表示以外のことをしようとすると、このエラーが発生します。
User: arn:aws:sts::[ACCOUNT-NUMBER]:assumed-role/AccessKeyManagement/[Logged In Username] is not authorized to perform: iam:CreateAccessKey on resource: user [Logged In Username]
リソースを変更しても"*"機能しますが、ユーザーは他のアカウントのアクセス キーを変更できます。
ロールの信頼関係 (必要な場合に備えて)
アクセスキーを変更する現在のユーザー権限の「想定ロール」を許可するために何をする必要があるかについて、私は途方に暮れています。