AWS 故障注入模拟器返回“未授权执行所需操作”。

Question

我正在尝试使用 AWS FIS 通过 ssm 发送命令 ( aws:ssm:send-command/AWSFIS-Run-CPU-Stress ) 对 ubuntu VM 上的 CPU 施加压力。

当我 ssh 到 VM 并使用“top”命令时，我看到 CPU 成功地从 0.3% 上升到 99.9%，但令人惊讶的是，FIS 实验最终以“失败”state 结束，标签为：“未授权执行所需的操作” .

由于 cpu 确实增加了，我什至在 99.9% 的 cpu 条目上看到了命令名称“stress-ng-cpu”，知道为什么它仍然说“未授权”并最终处于失败状态吗？

谢谢。

Answer 1

在我完全删除我的并应用如下所示的权限后它起作用了： https://chaos-engineering.workshop.aws/en/030_basic_content/030_basic_experiment/10-permissions.html

发布此内容是为了其他可能遇到类似问题的人的利益。

Answer 2

问题可能是角色缺少权限，很可能是ssm:ListCommands或ssm:CancelCommand ，这是aws:ssm:send-command操作所必需的 ( https://docs.aws.amazon.com/fis/latest /userguide/fis-actions-reference.html#ssm-actions-reference )

如果您只有ssm:SendCommand权限，该操作将能够启动（并注入错误），但是在检查正在运行的实验的 state 或尝试停止实验时，它将失败。

FIS 实验将以失败 state 结束，但 SSM 文档将继续运行，直到达到提供的持续时间。