【发布时间】:2022-11-05 04:19:20
【问题描述】:
我将首先说明我没有配置跨账户权限的经验。(试图解决这个问题)我已经在 AWS 中建立了一个多账户基础设施。我有一个拥有 SAML 提供程序的根帐户,它成功地允许我连接到其他子帐户。我在子应用程序帐户(开发、登台、生产)中设置了一些 CDK 堆栈。当我尝试部署时,我收到一条错误消息,指出我无权访问 SAML 提供程序,这是有道理的,因为部署是针对开发帐户运行的。这是有问题的堆栈的相关部分......
const samlProvider = iam.SamlProvider.fromSamlProviderArn(this, "saml-provider", "arn:aws:iam::XXXXXX");
const endpoint = this.vpc.addClientVpnEndpoint('Endpoint', {
cidr: '10.10.0.0/16',
serverCertificateArn: this.domainCert.certificateArn,
userBasedAuthentication: ec2.ClientVpnUserBasedAuthentication.federated(samlProvider),
authorizeAllUsersToVpcCidr: true,
});
我相信我需要在授予访问 SAML 提供程序的权限的根帐户上添加内联策略,但我不确定语法。任何解决此问题的帮助将不胜感激。
我不确定需要什么操作,所以我只是添加了所有的获取权限
我尝试了以下策略...
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GetSamlProvider",
"Effect": "Allow",
"Action": [
"iam:GetSAMLProvider"
],
"Resource": [
"arn:aws:iam::XXXXXXX"
]
}
]
}
我仍然得到相同的权限错误 您无权访问提供的 SAML Provider arn。
【问题讨论】:
标签: amazon-web-services aws-cdk aws-access-policy aws-iam-policy