Windows Server 不再通过 IAM 角色连接到 S3

Question

我有一个 Windows Server 2016 AMI (AMI v1)，它能够使用实例配置文件和关联的 IAM 角色写入 S3。

修改该 AMI 以启用 Windows 远程管理（以及一些其他更改，例如替换 EBS 卷）并创建了一个新的 AMI (AMI v2)。

使用 AMI v2 和 Powershell 命令（如 Write-S3Object）时，会显示以下错误：

No credentials specified or obtained from persisted/shell defaults.

Amazon SSM 代理也无法启动，并且错误日志显示：（注意它在 AMI v1 上运行良好）

2017-10-09 14:53:13 ERROR [start @ agent.go.61] error occured when starting core manager: Failed to fetch region. Data from vault is empty. Get http://169.254.169.254/latest/dynamic/instance-identity/document: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)
2017-10-09 14:53:13 ERROR [Execute @ agent_windows.go.169] Failed to start agent. Failed to fetch region. Data from vault is empty. Get http://169.254.169.254/latest/dynamic/instance-identity/document: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)
2017-10-09 14:53:50 ERROR [NewCoreManager @ coremanager.go.63] error fetching the region, Failed to fetch region. Data from vault is empty. Get http://169.254.169.254/latest/dynamic/instance-identity/document: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

我尝试在 AMI v2 中禁用 Windows 远程管理和 Windows 防火墙，但都没有帮助。

任何关于如何调试的建议都将不胜感激！

Answer 1

我知道这是一篇旧帖子，但我最近遇到了这个问题。问题是缺少到169.254.169.254 的路由。

如果您运行aws sts get-caller-identity，您应该会收到类似的错误消息并确认问题。

要修复它，请启动 PowerShell 会话，然后运行

Import-Module "C:\ProgramData\Amazon\EC2-Windows\Launch\Module\Ec2Launch.psm1"; 
Add-Routes

再次运行 aws sts get-caller-identity，您现在应该会看到 IAM 角色的名称。

PS：打印路线：route print