O Que Mudou na AWS
A AWS aprimorou significativamente as mensagens de erro de acesso negado ao incluir o Amazon Resource Name (ARN) da política que está causando a negação. Essa inovação complementa uma melhoria anterior de 2021 que já identificava o tipo de política envolvida. Agora, a plataforma vai além: fornece a identificação precisa da política responsável pela restrição.
É importante notar que o ARN da política é fornecido apenas em cenários envolvendo a mesma conta AWS ou a mesma organização. A funcionalidade está sendo distribuída gradualmente em todos os serviços AWS em todas as regiões.
Quais Políticas Recebem essa Melhoria?
A atualização abrange AWS Identity and Access Management (IAM) e AWS Organizations, cobrindo os seguintes tipos de políticas:
- Políticas de Controle de Serviço (SCPs — Service Control Policies)
- Políticas de Controle de Recursos (RCPs — Resource Control Policies)
- Políticas de Limite de Permissões (Permissions Boundaries)
- Políticas de Sessão (Session Policies)
- Políticas Baseadas em Identidade (Identity-Based Policies)
Comparação: Antes e Depois
Para ilustrar a diferença prática, considere um desenvolvedor tentando executar a ação ListRoles no IAM, mas sendo bloqueado por uma SCP:
Mensagem Anterior
An error occurred (AccessDenied) when calling the ListRoles operation: User: arn:aws:iam::123456789012:user/Matt is not authorized to perform: iam:ListRoles on resource: arn:aws:iam::123456789012:role/* with an explicit deny in a service control policyMensagem Aprimorada
An error occurred (AccessDenied) when calling the ListRoles operation: User: arn:aws:iam::123456789012:user/Matt is not authorized to perform: iam:ListRoles on resource: arn:aws:iam::123456789012:role/* with an explicit deny in a service control policy: arn:aws:organizations::987654321098:policy/o-qv5af4abcd/service_control_policy/p-2kgnabcdNote a diferença fundamental: a mensagem aprimorada inclui o ARN completo da política — arn:aws:organizations::987654321098:policy/o-qv5af4abcd/service_control_policy/p-2kgnabcd — eliminando a necessidade de investigar todas as políticas do mesmo tipo.
Os Princípios por Trás da Melhoria
A AWS estruturou essa funcionalidade com três pilares principais:
1. Escopo Limitado para Segurança
Os ARNs das políticas aparecem apenas quando a solicitação origina-se da mesma conta ou da mesma organização que a política. Essa limitação reduz o fluxo de informações sensíveis.
2. Informação Contextual Sem Exposição de Detalhes
A mensagem fornece apenas o ARN da política — um identificador de recurso — e não o conteúdo completo do documento de política. Isso significa que as permissões específicas e condições não são reveladas. Usuários ainda precisam de permissões apropriadas para acessar o conteúdo real da política ou tomar ações corretivas.
3. Lógica de Autorização Inalterada
Essa melhoria afeta exclusivamente a mensagem de erro exibida. A lógica de tomada de decisão sobre autorização permanece a mesma — as mesmas políticas continuam negando ou permitindo acesso da forma anterior.
Benefícios Práticos para Organizações
Resolução Mais Rápida de Problemas
Anteriormente, ao receber um erro de acesso negado originário de uma SCP, era necessário revisar todas as SCPs da organização, determinar quais se aplicavam à conta e avaliar cada uma — um processo demorado. Com o ARN específico incluído na mensagem, qualquer pessoa com permissão adequada pode acessar a política identificada e resolver o problema em minutos.
Redução da Carga Investigativa
A precisão do diagnóstico elimina investigações desnecessárias, economizando tempo de administradores e desenvolvedores.
Comunicação Melhorada Entre Equipes
Mensagens claras com ARNs da política oferecem um ponto de referência comum, eliminando ambiguidades e reduzindo trocas de mensagens entre equipes de desenvolvimento e operações.
Validação Rápida de Controles de Segurança
Ao validar controles de segurança, o ARN na mensagem de erro fornece confirmação imediata de qual política está aplicando a restrição, permitindo que clientes verifiquem rapidamente se suas políticas estão funcionando conforme esperado.
Um Exemplo Prático: Diagnóstico em Ação
Imagine um cenário em que você tenta descrever snapshots do Amazon Relational Database Service (Amazon RDS) na região us-east-2:
aws rds describe-db-snapshots --region us-east-2Você recebe um erro de acesso negado com a seguinte mensagem:
An error occurred (AccessDenied) when calling the DescribeDBSnapshots operation: User: arn:aws:sts::123456789012:assumed-role/ReadOnly/ReadOnlySession is not authorized to perform: rds:DescribeDBSnapshots on resource: arn:aws:rds:us-east-2:123456789012:snapshot:* with an explicit deny in a service control policy: arn:aws:organizations::987654321098:policy/o-qv5af4abcd/service_control_policy/p-lvi9abcdO Que Essa Mensagem Nos Diz
- Tipo de negação: É uma negação explícita — não é simplesmente a ausência de permissão, mas uma política que nega ativa e intencionalmente a ação.
- Origem da negação: A restrição vem da SCP com o ARN específico:
arn:aws:organizations::987654321098:policy/o-qv5af4abcd/service_control_policy/p-lvi9abcd
Passos para Resolução
Passo 1: Verifique se você tem permissão para visualizar a SCP. Se não tiver, contate o administrador e forneça a mensagem que inclui o ARN da política.
Passo 2: Se tiver as permissões necessárias, acesse a SCP através do Console de Gerenciamento AWS para AWS Organizations.
Passo 3: Procure por uma instrução Deny (negação) para a ação específica. No exemplo, a ação é rds:DescribeDBSnapshots.
Passo 4: Modifique a instrução para remover a Deny se ela não for mais aplicável. Para mais informações, consulte Atualizar uma política de controle de serviço (SCP).
Passo 5: Tente novamente a operação. Se continuar recebendo erros de acesso negado por razões ou políticas diferentes, repita o processo de diagnóstico.
Quando Essa Funcionalidade Estará Disponível
A atualização está sendo distribuída gradualmente em todos os serviços AWS em todas as regiões, com início previsto para o início de 2026.
Suporte e Assistência
Caso tenha dúvidas ou enfrente problemas relacionados a essa funcionalidade, entre em contato com AWS Support ou seu Technical Account Manager (TAM).
Fonte
Enhanced access denied error messages with policy ARNs (https://aws.amazon.com/blogs/security/enhanced-access-denied-error-messages-with-policy-arns/)
Leave a Reply