As funções não podem ser assumidas por contas raiz

0

Como uso o perfil thufir que criei e não uso a conta root da AWS?

Estou na página 12 do Guia do usuário da interface de linha de comando da AWS :

thufir@doge:~$ 
thufir@doge:~$ cat .aws/config 
[default]
output = text
region = us-west-2



[profile thufir]
role_arn = arn:aws:iam::1234567890:user/thufir
source_profile = default

thufir@doge:~$ 
thufir@doge:~$ aws iam list-users
USERS   arn:aws:iam::1234567890:user/thufir 2017-01-02T10:09:01Z    /   ABCDEFGIJKL thufir
thufir@doge:~$ 
thufir@doge:~$ aws s3 ls --profile thufir

An error occurred (AccessDenied) when calling the AssumeRole operation: Roles may not be assumed by root accounts.
thufir@doge:~$ 
thufir@doge:~$ export AWS_DEFAULT_PROFILE=thufir
thufir@doge:~$ 
thufir@doge:~$ aws s3 ls --profile thufir

An error occurred (AccessDenied) when calling the AssumeRole operation: Roles may not be assumed by root accounts.
thufir@doge:~$ 

Página 12 da interface de linha de comando da AWS Guia do usuário diz:

After creating the role, modify the trust relationship to allow the IAM user to assume it. The following example shows a trust relationship that allows a role to be assumed by an IAM user named jonsmith :
{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Sid": "",
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::123456789012:user/jonsmith"
    },
  "Action": "sts:AssumeRole"
}

Isso é feito localmente em um arquivo de configuração fisicamente na minha máquina, ou através de um site, ou ...?

Acho que isso pode estar relacionado a funções, e não a um perfil , conforme configurado.

    
por Thufir 03.01.2017 / 09:11

1 resposta

0

Roles may not be assumed by root accounts.

Esse erro significa exatamente o que diz.

Você não pode assumir uma função ao usar uma conta raiz, sob nenhuma circunstância. Você precisa usar uma conta do IAM.

Não há outra solução alternativa para isso. O comportamento é por design.

por:

link

    
por 03.01.2017 / 16:10