【发布时间】:2020-10-02 17:23:49
【问题描述】:
我在 kinesis firehose 的 CloudWatch 日志中收到此错误
{
"deliveryStreamARN": "arn:aws:firehose:us-west-2:917877325894:deliverystream/test_dynamodb",
"destination": "arn:aws:es:us-west-2:917877325894:domain/test-dynamodb2",
"deliveryStreamVersionId": 1,
"message": "Error received from Elasticsearch cluster. {\"error\":{\"root_cause\":[{\"type\":\"security_exception\",\"reason\":\"no permissions for [indices:data/write/bulk] and User [name=arn:aws:iam::917877325894:role/firehose_delivery_role2, backend_roles=[arn:aws:iam::917877325894:role/firehose_delivery_role2], requestedTenant=null]\"}],\"type\":\"security_exception\",\"reason\":\"no permissions for [indices:data/write/bulk] and User [name=arn:aws:iam::917877325894:role/firehose_delivery_role2, backend_roles=[arn:aws:iam::917877325894:role/firehose_delivery_role2], requestedTenant=null]\"},\"status\":403}",
"errorCode": "ES.ServiceException"
}
我已将所有不同的策略添加到附加到 Firehose 的角色中,但仍然出现相同的错误。(顺便说一下,该角色是由 firehose 本身创建的,但我也尝试添加更多策略,但没有不同的结果)
我也有弹性搜索域的开放访问策略
以前有人遇到过同样的事情吗?
【问题讨论】:
-
您是否使用了在 firehose 上运行的测试流?我之前尝试使用所有默认角色复制您的问题,并且在 firehose 上使用测试流没有任何问题。
-
@Marcin 非常感谢您提供帮助。是的,我使用 firehose 上的测试流对其进行了测试。我想我会从另一个帐户尝试它,因为我也在使用所有默认角色,但它不适合我,这真的很令人沮丧
-
@Marcin 当我转到弹性搜索本身的“索引”部分时,我什至收到了类似的权限错误消息。 /_mapping: {"error":{"root_cause":[{"type":"security_exception","reason":"没有权限 [indices:admin/mappings/get] 和用户 [name=arn:aws:iam ::917877325894:user/ipath-dev-IAMStack-1QMTXUYFNEW09-IpathAdmin-1QTPXQV9Q51OK, backend_roles=[], requestedTenant=null]"}],"type":"security_exception","reason":"没有权限 [indices: admin/mappings/get] 和用户 [name=arn:aws:iam::917877325894:user/AMStack-1QMTXUYF, backend_roles=[], requestedTenant=null]"},"status":403}
-
不知道。也许您的帐户中还有其他一些权限拒绝了这一点。也许您的账户是 AWS 组织的一部分,并且组织级别的 SCP 拒绝此类操作?
标签: amazon-web-services amazon-iam amazon-kinesis amazon-elasticsearch