Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Solución de problemas de 'Acceso Denegado' y autenticación en AWS CLI

Solucione sistemáticamente los errores de 'Acceso Denegado' y autenticación al usar la AWS CLI. Esta guía cubre pasos de diagnóstico esenciales, comenzando con la validación de credenciales utilizando `aws sts get-caller-identity`, examinando la compleja jerarquía de evaluación de políticas de IAM, y resolviendo problemas derivados de credenciales temporales o políticas basadas en recursos (como las políticas de bucket de S3). Aprenda a usar comandos clave y el Simulador de Políticas de IAM para identificar y solucionar rápidamente los fallos de autorización en su entorno de AWS.

46 vistas

Solución de problemas de Acceso Denegado y errores de autenticación en AWS CLI

Experimentar errores de Acceso Denegado o fallos inesperados de autenticación al usar la Interfaz de Línea de Comandos de AWS (CLI) es uno de los obstáculos más frecuentes que enfrentan los desarrolladores y administradores de sistemas. Estos problemas casi siempre tienen su raíz en políticas de gestión de identidades y accesos (IAM) mal configuradas, credenciales temporales caducadas o una configuración incorrecta del entorno de la CLI.

Resolver con éxito estos errores requiere un enfoque sistemático, comenzando por confirmar su identidad y credenciales, y pasando a una evaluación detallada de las políticas de IAM. Esta guía completa proporciona pasos accionables y comandos de diagnóstico para identificar y rectificar rápidamente los problemas comunes de autorización en la AWS CLI, asegurando que pueda administrar sus recursos de manera efectiva.

1. Diagnóstico Inicial: Identificación del Invocador y las Credenciales

Antes de adentrarse en el análisis de políticas complejas, el primer paso es confirmar de manera definitiva qué identidad de IAM está utilizando la AWS CLI y si esas credenciales siguen siendo válidas.

Comprobar la Identidad Actual: sts get-caller-identity

Este es el comando de diagnóstico más crítico. Le indica exactamente qué ARN de Usuario, ARN de Rol o sesión de rol asumida está ejecutando los comandos posteriores de AWS.

aws sts get-caller-identity

Salida Esperada:

{
    "UserId": "AIDAIAMUSERID",
    "Account": "123456789012",
    "Arn": "arn:aws:iam::123456789012:user/DevUser"
}

Si el ARN devuelto no coincide con el usuario o rol que espera, está operando bajo el perfil de AWS o las variables de entorno incorrectas.

Verificar la Configuración del Perfil y la Región

Asegúrese de que se esté utilizando el perfil de AWS correcto, ya sea especificado mediante el indicador --profile o configurado a través de la variable de entorno AWS_PROFILE.

# Comprobar la configuración para el perfil predeterminado
aws configure list

# O comprobar un perfil específico
aws configure list --profile prod-admin

Si la salida no muestra ninguna región o una región incorrecta, las operaciones sobre recursos globales o servicios específicos de la región (como buckets S3 o instancias EC2) pueden fallar, a veces resultando en un Acceso Denegado si el recurso no se encuentra donde la CLI está buscando.

Consejo: Si el propio comando sts get-caller-identity falla con un error de autenticación, indica un problema fundamental con las claves de acceso (podrían estar eliminadas, revocadas o ser incorrectas).

Gestión de Credenciales Temporales

Si está utilizando un Rol de IAM (a través de STS AssumeRole), la CLI opera con credenciales temporales que incluyen un SessionToken. Estas credenciales caducan (normalmente después de 1 hora). Si bien la AWS CLI suele actualizarlas automáticamente al obtenerlas de la cadena de proveedores de credenciales estándar, las configuraciones manuales pueden fallar.

Síntoma: Los comandos funcionan inicialmente, pero fallan después de un período determinado (por ejemplo, 60 minutos) con un error de autenticación.

Solución: Si utiliza un script personalizado o un entorno cargado manualmente, asegúrese de que su método para asumir el rol incluya un mecanismo para actualizar las credenciales cuando caduquen.

2. Profundización en Políticas de IAM y Autorización

Una vez que confirme la identidad que se está utilizando, el siguiente paso es determinar por qué esa identidad carece de los permisos necesarios. Los fallos de autorización de AWS son complejos porque se evalúan múltiples políticas simultáneamente.

Jerarquía de Evaluación de Políticas de IAM

Los errores de autorización suelen ocurrir debido a uno de los siguientes componentes de la política:

  1. Denegación Explícita: Una declaración Deny explícita en cualquier política aplicable (de Identidad, de Recurso o de Límite) siempre anula una declaración Allow.
  2. Permiso Faltante: Ninguna política aplicable a la identidad o al recurso otorga la acción específica.

A. Políticas Basadas en Identidad (Usuarios y Roles)

Compruebe las políticas de IAM adjuntas directamente al usuario o al rol que se está asumiendo. Busque:

  • Acciones Faltantes: ¿Enumera la política específicamente la acción de API necesaria (por ejemplo, s3:ListBucket, ec2:DescribeInstances)?
  • Restricciones de Recursos: ¿Restringe la política la acción a recursos específicos utilizando el elemento Resource? Un error común es establecer Resource: "*" cuando la acción requiere un ARN específico, o viceversa.
  • Condiciones: ¿Existen condiciones (por ejemplo, dirección IP de origen, hora del día, MFA requerida) que no se están cumpliendo?

B. Políticas Basadas en Recursos (S3, SQS, KMS)

Para servicios como S3 o KMS, el recurso en sí tiene una política que dicta quién puede acceder a él. Incluso si la política de su Usuario de IAM explícitamente permite el acceso, la Política de Recurso también debe permitir que el usuario realice la acción.

Ejemplo: Intentar acceder a un bucket S3 (Política de Recurso) que tiene una Deny explícita para todos los usuarios fuera de un Endpoint de VPC específico dará como resultado Acceso Denegado, independientemente de la política de IAM del usuario.

C. Límites de Permisos y SCPs

Si su organización utiliza AWS Organizations, las Políticas de Control de Servicios (SCPs) definen los permisos máximos permitidos dentro de una cuenta. De manera similar, los Límites de Permisos limitan los permisos máximos que una entidad de IAM puede poseer.

Si la SCP o el Límite deniegan la acción requerida, la operación de la CLI fallará, incluso si la Política de Identidad concede el permiso.

Herramienta Práctica: Simulador de Políticas de IAM

Al solucionar fallos complejos, el Simulador de Políticas de IAM en la Consola de Administración de AWS es invaluable. Puede probar una acción específica (por ejemplo, s3:GetObject) contra un recurso específico (por ejemplo, arn:aws:s3:::mi-bucket/clave) y especificar la entidad de IAM, lo que le ayuda a identificar exactamente qué declaración de política está causando la denegación.

3. Escenarios Comunes de Acceso Denegado y Soluciones

Escenario 1: Acceso Denegado a S3 (Recurso vs. Identidad)

El Acceso Denegado de S3 es notorio porque puede provenir de la Política de Usuario o de la Política del Bucket.

Causa Diagnóstico Solución
Permiso de Bucket Faltante sts get-caller-identity funciona, pero aws s3 ls falla. Modificar la Política del Bucket para permitir explícitamente al ARN de llamada realizar las acciones necesarias (s3:ListBucket, s3:GetObject).
Permisos de Descifrado KMS Faltantes Acceder a objetos cifrados falla (incluso si la política S3 lo permite). Asegurarse de que la entidad de IAM tenga permisos para usar la clave KMS subyacente (kms:Decrypt) que cifró el objeto.
Requester Pays Intentos de descargar archivos grandes fallan. Si el bucket requiere Requester Pays, el comando de la CLI debe incluir el indicador --request-payer requester.

Escenario 2: Denegación Implícita Debido a Fallos de Condición

Muchas políticas utilizan condiciones que refuerzan las mejores prácticas de seguridad, como requerir Autenticación Multifactor (MFA).

Si su política incluye una condición como:

"Condition": {
    "Bool": {
        "aws:MultiFactorAuthPresent": "true"
    }
}

Y usted intenta ejecutar un comando sin MFA autenticado, la acción será denegada implícitamente.

Solución: Para comandos que requieren MFA, primero debe crear una sesión de STS autenticada con su dispositivo MFA:

# 1. Obtener credenciales temporales usando su token MFA
aws sts get-session-token --serial-number arn:aws:iam::123456:mfa/usuario --token-code 123456

# 2. Exportar el AccessKeyId, SecretAccessKey y SessionToken resultantes como variables de entorno para su sesión de CLI.

Escenario 3: Región Faltante o Incorrecta

Aunque no siempre es un error de Acceso Denegado, intentar realizar una acción sobre un recurso sin especificar la región correcta a menudo conduce a fallos de autorización o de no encontrado del recurso, especialmente al trabajar con servicios regionales como EC2, DynamoDB o EKS.

Solución: Definir explícitamente la región en su comando o asegurarse de que su perfil esté configurado correctamente.

aws ec2 describe-instances --region us-west-2

4. Resumen de Comandos de Diagnóstico

Utilice esta lista de comandos para diagnosticar rápidamente la cadena de fallos de autorización:

Meta Comando Propósito
Verificar Identidad aws sts get-caller-identity Confirma el ARN que ejecuta el comando.
Verificar Configuración aws configure list Comprueba la configuración del perfil, la región y el formato de salida.
Probar Validez de Política (Usar Simulador de Políticas de IAM) Comprueba si una identidad de IAM puede realizar una acción de API específica en un recurso.
Identificar Denegaciones de Política aws cloudtrail lookup-events ... Usar CloudTrail para ver el registro de eventos exacto donde falló la evaluación de la política.

Conclusión: Mejores Prácticas para la Prevención

Para minimizar los errores de Acceso Denegado en la AWS CLI, adopte estas mejores prácticas de seguridad y operativas:

  1. Usar el Principio de Menor Privilegio: No conceda acceso * (comodín) a menos que sea absolutamente necesario. Limite las políticas estrictamente a las acciones y recursos requeridos.
  2. Usar Roles de IAM: Prefiera asumir Roles de IAM en lugar de usar claves de Usuario de IAM de larga duración, especialmente en scripts o canalizaciones de CI/CD. Esto limita el tiempo de exposición si las credenciales se filtran.
  3. Auditar CloudTrail: Si el problema persiste, la fuente autorizada es AWS CloudTrail. Un evento registrado para una llamada API fallida a menudo incluirá la razón del fallo (por ejemplo, Denegado por Política X, MFA requerido).
  4. Gestionar Perfiles: Nombre y gestione claramente perfiles separados para diferentes cuentas o roles de AWS (--profile). Evite mezclar variables de entorno con la configuración de perfiles.