Sto usando il comando "aws ec2 run -stances" (dall'interfaccia della riga di comando di AWS (CLI) ) per avviare un'istanza di Amazon EC2 . Voglio impostare un ruolo IAM per l'istanza EC2 che sto lanciando. Il ruolo IAM è configurato e posso utilizzarlo correttamente all'avvio di un'istanza dall'interfaccia utente Web di AWS. Ma quando provo a farlo usando quel comando e l'opzione "--iam-instance-profile", fallisce. Fare "aiuto per istanze di esecuzione di aws ec2" mostra Arn = e Name = sottocampi per il valore. Quando provo a cercare Arn usando "aws iam list-istanza-profili", viene visualizzato questo messaggio di errore:
Si è verificato un errore client (AccessDenied): Utente: arn: aws: sts :: xxxxxxxxxxxx: assunto ruolo / shell / i-15c2766d non autorizzato ad eseguire: iam: ListInstanceProfiles su risorsa: arn: aws: iam :: xxxxxxxxxxxx: istanza -profilo/
(dove xxxxxxxxxxxx è il mio numero di conto AWS a 12 cifre)
Ho cercato la stringa Arn tramite l'interfaccia utente Web e l'ho usata tramite "--iam-instance-profile Arn = arn: aws: iam :: xxxxxxxxxxxx: istanza-profilo / shell" sul comando run-instance, e questo non è riuscito con :
Si è verificato un errore client (UnauthorizedOperation): non sei autorizzato a eseguire questa operazione.
Se lascio completamente l'opzione "--iam-instance-profile", l'istanza si avvierà ma non avrà l'impostazione del ruolo IAM di cui ho bisogno. Quindi l'autorizzazione sembra avere qualcosa a che fare con l'uso di "--iam-instance-profile" o con l'accesso ai dati IAM. Ho ripetuto più volte in caso di anomalie AWS (a volte accadono) e nessun successo.
Sospettavo che forse c'è una restrizione che un'istanza con un ruolo IAM non è autorizzata ad avviare un'istanza con un ruolo IAM più potente. Ma in questo caso, l'istanza in cui sto eseguendo il comando ha lo stesso ruolo IAM che sto cercando di utilizzare. chiamato "shell" (anche se ho anche provato a usarne un altro, senza fortuna).
L'impostazione di un ruolo IAM non è nemmeno consentita da un'istanza (tramite le sue credenziali del ruolo IAM)?
È necessaria un'autorizzazione di ruolo IAM superiore necessaria per utilizzare i ruoli IAM rispetto a quella necessaria per avviare una semplice istanza?
"--Iam-instance-profile" è il modo appropriato per specificare un ruolo IAM?
Devo usare un sottoinsieme della stringa Arn o formattarlo in qualche altro modo?
È possibile impostare un ruolo IAM in grado di eseguire qualsiasi accesso al ruolo IAM (forse un "Super Root IAM" ... inventando questo nome)?
Cordiali saluti, tutto coinvolge Linux in esecuzione sulle istanze. Inoltre, sto eseguendo tutto questo da un'istanza perché non sono riuscito a installare questi strumenti sul mio desktop. Questo e non voglio mettere le mie credenziali utente IAM su qualsiasi spazio di archiviazione AWS come consigliato da AWS qui .
dopo risposto:
Non ho menzionato l'autorizzazione all'istanza di avvio di "PowerUserAccess" (rispetto a "AdministratorAccess") perché non mi rendevo conto che era necessario un ulteriore accesso al momento della domanda. Ho assunto che il ruolo IAM fosse "informazione" allegato al lancio. Ma è davvero di più. È una concessione dell'autorizzazione.