问题概述 #

通过AWS SSO（IAM Identity Center）登录的用户，在VPC控制台路由表页面的「操作」下拉菜单中，Edit edge associations、Edit subnet associations、Edit route propagation、Edit routes等核心操作选项均显示为灰色禁用状态，且该问题仅出现在SSO用户中，非SSO账户操作完全正常。

问题与正常状态截图 #

禁用状态

正常状态

核心排查方向 #

1. SSO权限集缺少关键操作权限 #

SSO用户的权限集（Permission Set）未配置VPC路由表修改所需的IAM权限，需确认是否包含以下动作：

• ec2:ModifyRouteTable：对应编辑路由、子网关联、边缘关联操作
• ec2:EnableVgwRoutePropagation/ec2:DisableVgwRoutePropagation：对应编辑路由传播操作
• 若权限集仅包含只读权限（如ec2:DescribeRouteTables），必然导致操作选项禁用。

2. 组织层级SCP策略限制 #

AWS Control Tower或组织（Organizations）的服务控制策略（SCP）可能限制了目标账户的VPC操作：

• 检查组织根或用户所在OU的SCP，是否存在明确拒绝ec2:ModifyRouteTable、ec2:EnableVgwRoutePropagation等动作的规则；
• SCP优先级高于IAM权限，即使权限集允许，SCP拒绝的操作也无法执行。

3. 资源级权限范围不足 #

权限集的IAM策略若对资源范围限制过窄，也会导致操作被拦截：

• 确认策略中相关ec2动作的资源配置，需覆盖目标路由表（或使用*通配符），示例配置：

  {
      "Effect": "Allow",
      "Action": [
          "ec2:ModifyRouteTable",
          "ec2:EnableVgwRoutePropagation"
      ],
      "Resource": "arn:aws:ec2:us-east-1:123456789012:route-table/*"
  }
  

• 若仅指定了特定路由表ARN，而用户当前操作的路由表不在范围内，选项会被禁用。

4. 权限边界（Permission Boundary）限制 #

部分SSO权限集会配置权限边界，限制用户的最大权限范围：

• 检查权限集关联的权限边界策略，是否允许VPC路由表的修改操作；
• 权限边界会过滤权限集中超出边界的权限，即使权限集允许，边界拒绝的操作也无法生效。

5. 控制台UI权限检测逻辑问题 #

AWS控制台会通过预调用ec2:DescribeRouteTables判断用户权限，若用户缺少该只读权限（或权限不足），可能导致UI误判操作可用性，但此情况通常伴随无法查看路由表详情，可结合实际场景排查。

内容的提问来源于stack exchange，提问作者YINLCHEN