我是 AWS 管理员。我已按照说明为所有用户强制执行 MFA。我的一位用户收到“实体已存在”错误。该对话框要求用户“要求您的管理员使用 CLI 删除现有设备......”这就是我。我没有运气这样做。
如果我使用 CLI 列出-virtual-mfa-devices,我会看到这一点。有问题的用户是“userBob”。正如您所看到的,他现有设备的 SerialNumber 显示时没有附加“用户”。
{
"VirtualMFADevices": [
{
"SerialNumber": "arn:aws:iam::xxxxx:mfa/userBob"
},
{
"SerialNumber": "arn:aws:iam::xxxxxxxxx:mfa/root-account-mfa-device",
"User": {
"UserName": "mycompany",
"UserId": "xxxxx",
"Arn": "arn:aws:iam::xxxxxx:root",
"CreateDate": "2010-10-12T18:54:24+00:00",
"PasswordLastUsed": "2020-05-27T20:28:12+00:00"
},
"EnableDate": "2020-05-19T19:06:11+00:00"
},
aws iam deactivate-mfa-device --serial-number arn:aws:iam::xxxxxxxxx:mfa/userBob --user-name userBob
调用 DeactivateMFADevice 操作时发生错误 (AccessDenied):用户:arn:aws:iam::xxxxxxx:user/meKevinAdminGuy 无权执行:iam:DeactivateMFADevice 资源:用户 userBob,明确拒绝
我当然从未明确否认任何 iam 行为。我无法找到明确拒绝的位置。我已经给了自己所有的 iam 权限。
运行 aws iam delete-virtual-mfa-device 会出现相同的错误。无法停用它。删不掉啊不知道“明确拒绝”从何而来。
最佳答案
我遇到了同样的问题,这确实是由于政策。我有一个 "Effect": "Deny"和一个 "NotAction"不包括 "iam:DeleteVirtualMFADevice" 的列表在里面。这实际上明确否认了该行动。您可以在 IAM JSON 策略元素:IAM 文档的 NotAction 部分中阅读“NotAction with Deny”:https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html
我附上了托管策略 AdministratorAccess到我自己的用户(对您而言,将其应用于“meKevinAdminGuy”),然后将自己从其他策略/组中删除,我参与了导致此明确拒绝的其他策略/组。
只有 AdministratorAccess政策,我在删除分离的 MFA 序列时没有遇到明确的拒绝。一旦我设法删除它,我只是通过重新附加这些策略和组来恢复我以前设置的权限,最后将自己从 AdministratorAccess 中删除。政策。
关于amazon-web-services - 无法停用或删除 aws iam mfa 设备,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65012529/