1
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

AWS SageMaker Studioで"Auth token containing insufficient permissions"が出てアクセスできないときの対処

Last updated at Posted at 2020-07-22

ポリシーをアタッチしたのにSageMaker Studioへの画面遷移がエラーになる!

SageMaker Studioを利用する際にAmazonSageMakerFullAccessポリシーがアタッチされているのに画面遷移しようとすると"Auth token containing insufficient permissions"というエラーメッセージがでてHTTP403 Forbiddenになってしまうケースに遭遇しました。

該当のエラーメッセージで検索してもAWSのフォーラムが1件しかヒットせず、しかも誰からも返信がなく解決策を得ることが出来ずに途方に暮れました。

原因は何だったのか

結論から言うとIAMのカスタムポリシーの不備でした。

{
    "Statement": [
        {
            "Sid": "SourceIPRestriction",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "オフィスのグローバルIPアドレスその1",
                        "オフィスのグローバルIPアドレスその2"
                    ]
                }
            }
        }
    ]
}

みたいなカスタムポリシーが前任者によって設定されていたのですが、これだと「オフィス内から以外のIPアドレスからのアクセスをすべて弾き」ます。
しかしSageMaker StudioはAWSによりリダイレクトされるため、アクセス元が(おそらく)AWS内のIPアドレスになっているため弾かれた、というのが事の真相のようでした。

どうやって対処したのか

aws:ViaAWSService条件キーを設定しました。
aws:ViaAWSServiceはAWSが代わりにリクエストした場合(リダイレクトなど)を対象にするかどうかを条件に含めることが出来ます。

{
    "Statement": [
        {
            "Sid": "SourceIPRestriction",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "false"
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "オフィスのグローバルIPアドレスその1",
                        "オフィスのグローバルIPアドレスその2"
                    ]
                }
            }
        }
    ]
}

こうすることで「AWSによるリクエストではない場合にオフィス以外からのアクセスを弾く」という設定になりました。


該当するケースが少ない現象だと思いますがどなたかの参考になれば。

1
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?