疑難排解 AWS Resource Groups 身分和存取

使用下列資訊可協助您診斷和修正使用 Resource Groups 和 IAM 時可能會遇到的常見問題。

我沒有在 Resource Groups 中執行動作的授權

如果 AWS Management Console 告訴您您沒有執行動作的授權，則您必須聯絡管理員以尋求協助。您的管理員是為您提供簽署憑證的人員。

當使用者mateojackson嘗試使用主控台來檢視群組的詳細資料，但沒有resource-groups:ListGroups權限時，就會發生下列範例錯誤。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: resource-groups:ListGroups on resource: arn:aws:resource-groups::us-west-2:123456789012:group/my-test-group

在此情況下，Mateo 會請求管理員更新他的政策，允許他使用 my-test-group 動作存取 resource-groups:ListGroups 資源。

我沒有授權執行 iam：PassRole

如果您收到未授權執行iam:PassRole動作的錯誤訊息，則必須更新您的原則，以允許您將角色傳遞給 Resource Groups。

有些 AWS 服務 允許您將現有角色傳遞給該服務，而不是建立新的服務角色或服務連結角色。如需執行此作業，您必須擁有將角色傳遞至該服務的許可。

當名為的 IAM 使用者marymajor嘗試使用主控台在 Resource Groups 中執行動作時，會發生下列範例錯誤。但是，動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞至該服務的許可。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

在這種情況下，Mary 的政策必須更新，允許她執行 iam:PassRole 動作。

如果您需要協助，請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。

我想允許我 AWS 帳戶以外的人員存取我的 Resource Groups

您可以建立一個角色，讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務，您可以使用那些政策來授予人員存取您的資源的許可。

如需進一步了解，請參閱以下內容：

• 若要瞭解 Resource Groups 是否支援這些功能，請參閱Resource Groups 如何使用 IAM。

• 若要了解如何提供對您所擁有資源 AWS 帳戶 的存取權，請參閱 IAM 使用者指南中您擁有的另一 AWS 帳戶 個 IAM 使用者提供存取權限。

• 若要了解如何將資源存取權提供給第三方 AWS 帳戶，請參閱 IAM 使用者指南中的提供第三方 AWS 帳戶 擁有的存取權。

• 如需了解如何透過聯合身分提供存取權，請參閱 IAM 使用者指南中的將存取權提供給在外部進行身分驗證的使用者 (聯合身分)。

• 若要了解跨帳戶存取使用角色和以資源為基礎的政策之間的差異，請參閱 IAM 使用者指南中的 IAM 中的跨帳戶資源存取。