AWS IAM 角色权限问题

【问题标题】:AWS IAM Role permission issueAWS IAM 角色权限问题
【发布时间】:2021-01-03 00:33:54
【问题描述】:

我们刚刚在 EC2 实例上构建了一个托管在 AWS 上的新 Things Enterprise 服务器,并创建了一个使用 AWS IOT 的应用程序。我们收到以下错误

“消息”:“用户:arn:aws:sts::446971925991:assumed-role/Things-Enterprise-Stack-Srv-StackIAMRole-DBHBSMSY05AQ/i-095895d605fab3fa4 无权执行:sts:AssumeRole 对资源: arn:aws:iam::446971925991:role/Bosh-Parking-IOT-Stack-TheThingsStackRoleCD9FBAD2-C44RRJJ53M93”

有人告诉我

尝试担任该角色的 TTES 实例的执行角色是什么?角色 TTES 需要能够承担该角色。这将提供正确的权限。

但我不确定这意味着什么,我假设我需要在 IAM 角色中添加/更改一些权限。有人可以指出我正确的方向吗?

【问题讨论】:

    标签: amazon-web-services amazon-ec2 amazon-iam aws-iot


    【解决方案1】:

    从错误消息看来,您的IAM role for Amazon EC2 似乎没有担任角色的权限 Bosh-Parking-IOT-Stack-TheThingsStackRoleCD9FBAD2-C44RRJJ53M93

    手动添加此类权限,您可以执行以下操作:

    1. 转到IAM Console->Roles
    2. Roles 窗口中,您可以使用Search 栏定位Things-Enterprise-Stack-Srv-StackIAMRole-DBHBSMSY05AQ 角色。
    3. 找到角色后,点击Add inline policy
    4. Create policy 窗口显示后,您可以转到 JSON tab 并添加以下 JSON 策略:
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::446971925991:role/Bosh-Parking-IOT-Stack-TheThingsStackRoleCD9FBAD2-C44RRJJ53M93"
        }
    ]
}
    1. 然后点击Review Policy,命名策略(例如PolicyToAssumeRole)和Create policy

    但是,根据您的策略名称(例如 Stack-Srv-StackIAMRole),它们可能是由 CloudFormation 创建的。如果是这种情况,那么如上所述手动更改角色是一种不好的做法,将导致drift。对 CloudFormation 创建的资源的任何更改都应使用 CloudFormation 完成。遗憾的是,您的问题没有提供有关使用的 CloudFormation 模板的任何详细信息,因此很难对此发表评论。

    【讨论】:

    • 嗨,您确实是正确的,部署是通过云形成模板进行的。我们使用了官方的 AWS Things 企业堆栈,可以在此处查看 - enterprise.thethingsstack.io/getting-started/aws/ami 我会联系并查看是否可以通过模板更新进行添加/更改。谢谢指点
    • @Pigsfoot 没问题。请让我知道它会如何进行。此外,如果答案有帮助,我们将不胜感激。
    • 嗨@Marcin,我刚刚根据您的建议添加了策略,只是为了尝试一下,以便我们以后可以将其添加到模板中。但是仍然收到相同的错误消息“消息”:“用户:arn:aws:sts::446971925991:assumed-role/Things-Enterprise-Stack-Srv-StackIAMRole-DBHBSMSY05AQ/i-095895d605fab3fa4 is not authorized to perform: sts:资源上的 AssumeRole:arn:aws:iam::446971925991:role/Bosh-Parking-IOT-Stack-TheThingsStackRoleCD9FBAD2-C44RRJJ53M93"
    • @Pigsfoot Intresting。对于测试,您可以允许策略中的所有资源吗? "Resource": "*"
    • 完美,破解它....没有更多的错误信息。感谢您的帮助,非常感谢。我们现在将考虑更新模板。
    猜你喜欢
    • 1970-01-01
    • 2022-08-18
    • 1970-01-01
    • 2021-08-18
    • 2015-09-09
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-06-25
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode