使用 ecs-cli 时出现 IAM 错误

【问题标题】:IAM Error while using ecs-cli使用 ecs-cli 时出现 IAM 错误
【发布时间】:2017-03-26 00:48:54
【问题描述】:

我正在尝试使用 compose 文件为 ECS 创建一个新任务,但即使我的用户具有所需的权限,我也会收到 AccessDeniedException。

$ ecs-cli compose --project-name test create
WARN[0000] Skipping unsupported YAML option for service...  option name=build service name=builder
WARN[0000] Skipping unsupported YAML option for service...  option name=restart service name=db
WARN[0000] Skipping unsupported YAML option for service...  option name=restart service name=dbadmin
WARN[0000] Skipping unsupported YAML option for service...  option name=restart service name=app
ERRO[0001] Error registering task definition             error=AccessDeniedException: User: arn:aws:iam::XXXXXXX:user/foo is not authorized to perform: ecs:RegisterTaskDefinition on resource: *
    status code: 400, request id: 41e6b69a-a839-11e6-84b0-e9bc2ec3f81b family=ecscompose-test
ERRO[0001] Create task definition failed                 error=AccessDeniedException: User: arn:aws:iam::XXXXXXX:user/foo is not authorized to perform: ecs:RegisterTaskDefinition on resource: *
    status code: 400, request id: 41e6b69a-a839-11e6-84b0-e9bc2ec3f81b
FATA[0001] AccessDeniedException: User: arn:aws:iam::XXXXXXX:user/foo is not authorized to perform: ecs:RegisterTaskDefinition on resource: *
    status code: 400, request id: 41e6b69a-a839-11e6-84b0-e9bc2ec3f81b

用户已附加此政策:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:RegisterTaskDefinition",
                "ecs:ListTaskDefinitions",
                "ecs:DescribeTaskDefinition"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

我还尝试附加 AmazonEC2ContainerServiceFullAccess(具有 ecs:*),但没有成功。

【问题讨论】:

  • 您是否尝试过完全的超级用户权限?如果这仍然不起作用,许可的事情可能是一个红鲱鱼。
  • 我在该用户上尝试了 AmazonEC2ContainerServiceFullAccess
  • 正确,但它可能取决于其他一些权限,并且没有正确传递错误。它至少会排除权限问题。

标签: amazon-web-services docker-compose amazon-ecs


【解决方案1】:

发现问题,我使用的用户有使用 MFA(MultiFactor Auth)的策略,ecs-cli 不支持。

【讨论】:

  • 哦...我的...上帝...感谢 AWS =/ 但真诚地感谢您,agusluc!如果我没有阅读这篇文章,会浪费很多时间!
【解决方案2】:

我相信这篇文章对为什么会发生上述错误有一些答案,但认为不是解决方法。

Trouble deploying docker on AWS with ecs-cli

“据我了解,ecs-cli 对完整的 Docker Compose 文件语法的支持非常有限”

每位用户 Dolan Antenucci

注意警告 "WARN[0000] 跳过服务的不受支持的 YAML 选项..."

【讨论】:

  • 尝试了一个没有抛出任何WARN的简化.yml文件,结果是一样的,AccessDeniedException
【解决方案3】:

ECS 不支持大部分撰写设置。但是,它应该只打印警告并忽略它们,这会产生意想不到的结果,但不应该引发权限问题。

当您看到 400 AccessDeniedExceptions 以“user_arn not authorized to perform service:action on service_resource”的形式出现时,这绝对是 IAM 问题。但是,您列出的 IAM 策略看起来是正确的。我的想法是您不知何故没有使用正确的用户凭据,或者 IAM 策略未正确应用于用户。

【讨论】:

  • 我仔细检查了所有内容,我为 ecs-cli 工具设置的凭据适用于我的个人用户,并且该用户具有上面列出的策略。我尝试创建一对新的访问密钥/秘密密钥,但问题仍然存在。我
猜你喜欢
  • 1970-01-01
  • 2023-03-17
  • 2018-07-06
  • 2012-03-28
  • 1970-01-01
  • 1970-01-01
  • 2020-11-01
  • 1970-01-01
  • 2017-11-02
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode