Tôi đang sử dụng lệnh "aws ec2 run-instance" (từ Giao diện dòng lệnh AWS (CLI) ) để khởi chạy một phiên bản Amazon EC2 . Tôi muốn đặt vai trò IAM cho phiên bản EC2 mà tôi sẽ khởi chạy. Vai trò IAM được cấu hình và tôi có thể sử dụng thành công khi khởi chạy một thể hiện từ giao diện người dùng web AWS. Nhưng khi tôi cố gắng thực hiện điều này bằng cách sử dụng lệnh đó và tùy chọn "--iam-instance-profile", nó đã thất bại. Thực hiện "aws ec2 run-instance help" hiển thị Arn = và Name = trường con cho giá trị. Khi tôi cố gắng tra cứu Arn bằng cách sử dụng "aws iam list-instance-profile", nó sẽ đưa ra thông báo lỗi này:
Xảy ra lỗi máy khách (AccessDenied): Người dùng: arn: aws: sts :: xxxxxxxxxxxx: ass-vai / shell / i-15c2766d không được phép thực hiện: iam: ListInstanceProfiles trên resource: arn: aws: iam :: xxxxxxx -Hồ sơ/
(trong đó xxxxxxxxxxxx là số tài khoản 12 chữ số AWS của tôi)
Tôi đã tra cứu chuỗi Arn thông qua giao diện người dùng web và sử dụng thông qua "--iam-instance-profile Arn = arn: aws: iam :: xxxxxxxxxxxx: instance-profile / shell" trên lệnh run-instance, và đã thất bại với :
Xảy ra lỗi máy khách (Không được phép): Bạn không được phép thực hiện thao tác này.
Nếu tôi hoàn toàn bỏ tùy chọn "--iam-instance-profile", cá thể sẽ khởi chạy nhưng nó sẽ không có cài đặt vai trò IAM tôi cần. Vì vậy, sự cho phép dường như có liên quan đến việc sử dụng "--iam-instance-profile" hoặc truy cập dữ liệu IAM. Tôi đã lặp đi lặp lại nhiều lần trong trường hợp AWS bị trục trặc (đôi khi chúng xảy ra) và không thành công.
Tôi nghi ngờ rằng có lẽ có một hạn chế là một cá thể có vai trò IAM không được phép khởi chạy một thể hiện có vai trò IAM mạnh hơn. Nhưng trong trường hợp này, ví dụ tôi đang thực hiện lệnh trong đó có cùng vai trò IAM mà tôi đang cố gắng sử dụng. được đặt tên là "vỏ" (mặc dù tôi cũng đã thử sử dụng một cái khác, không có may mắn).
Việc thiết lập vai trò IAM thậm chí không được phép từ một thể hiện (thông qua thông tin xác thực vai trò IAM của nó)?
Có một số quyền IAM cao hơn cần thiết để sử dụng vai trò IAM, hơn mức cần thiết cho việc khởi chạy một thể hiện đơn giản?
"--Iam-instance-profile" có phải là cách thích hợp để chỉ định vai trò IAM không?
Tôi có cần sử dụng tập hợp con của chuỗi Arn hoặc định dạng nó theo một cách khác không?
Có thể thiết lập vai trò IAM có thể thực hiện bất kỳ vai trò IAM nào (có thể là "Super Root IAM" ... tạo nên tên này) không?
FYI, mọi thứ liên quan đến Linux chạy trên các trường hợp. Ngoài ra, tôi đang chạy tất cả những thứ này từ một ví dụ vì tôi không thể cài đặt các công cụ này trên máy tính để bàn của mình. Điều đó và tôi không muốn đặt thông tin đăng nhập người dùng IAM của mình vào bất kỳ bộ lưu trữ AWS nào như AWS khuyên ở đây .
sau khi trả lời:
Tôi không đề cập đến quyền khởi động của "PowerUserAccess" (so với "AdministratorAccess") vì tôi không nhận ra quyền truy cập bổ sung là cần thiết tại thời điểm câu hỏi được hỏi. Tôi cho rằng vai trò IAM là "thông tin" được đính kèm trong buổi ra mắt. Nhưng nó thực sự là nhiều hơn thế. Đó là một sự cho phép.