RAM用户调用AssumeRole获取STS Token时发生报错
问题描述
RAM用户使用API、CLI或SDK调用AssumeRole获取STS Token时,出现以下报错信息:
说明:AssumeRole接口的调用方法请参见AssumeRole。
Error message: You are not authorized to do this action. You should be authorized by RAM.
问题原因
- 该RAM用户缺少允许STS扮演角色的权限策略。
- RAM角色的信任策略不包含您正在使用的RAM用户,即RAM角色不允许该RAM用户扮演。
解决方案
- RAM用户缺少允许STS扮演角色的权限策略:请为该RAM用户添加系统策略(AliyunSTSAssumeRoleAccess)或自定义策略,您也可以通过创建自定义策略指定RAM用户具体可以扮演的RAM角色。
- 登录RAM控制台。
- 在左侧导航栏,单击RAM角色管理。
- 单击目标RAM角色名称。
- 在基本信息区域,查看RAM角色ARN。
- 参见以下策略示例,将自定义策略授权给RAM用户,便可以指定具体可以扮演的RAM角色。关于如何为RAM用户授权,请参见为RAM用户授权。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Resource": "acs:ram:*:$accountId:role/$roleName"
}
],
"Version": "1"
}说明:
- Resource为获取的RAM角色ARN。
- [$AccountId]为阿里云账号ID。
- [$RoleName]为RAM角色名称。
- RAM角色不允许该RAM用户扮演:请为RAM角色添加允许该RAM用户扮演的信任策略,详情请参见修改RAM角色的信任策略。
适用于
- 访问控制