[英]AccessDenied for EC2 Instance with attached IAM Role
我具有以下IAM角色:
在我的自定義政策中,我有:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": "10.0.0.0/16"
}
}
}
]
}
然后,我創建一個新的EC2實例並將此角色附加到它。
在EC2實例內部,我嘗試執行以下操作:
aws iam list-roles
但是我得到這個錯誤:
調用ListRoles操作時發生錯誤(AccessDenied):用戶:arn:aws:sts :: XXXXXXX:assumed-role / My-Role / i-XXXXXX未經授權執行:資源上的iam:ListRoles:arn:aws: iam :: XXXXXXX:角色/
請問您為什么不起作用? 謝謝。
PS:EC2實例的IP為10.0.0.XX
IAM API駐留在Internet上。 因此,當它收到您的請求時,它將來自實例的IP地址。 IAM從未看到實例的私有IP地址。
從理論上講,IP地址限制不是必需的,因為該角色只能在已分配角色的實例上使用。 您應該對誰可以使用該角色( iam:PassRole )進行安全保護,而不是從可以使用該角色的位置進行保護。
如果實例ID與IAM策略中的實例ID不匹配,則限制IAM角色附加到EC2實例
[英]Restrict IAM Role to be attached to an EC2 instance if Instance Id does not match the one in IAM Policy
PHP SDK無法在附加了IAM角色的EC2實例上獲取AWS憑證
[英]PHP SDK Cannot get AWS Credentials on EC2 Instance with IAM Role attached
如何使用 EC2 實例本身的 PowerShell 知道附加到 EC2 的“IAM 角色”的名稱?
[英]How can I know the Name of the “IAM role” attached to EC2 using PowerShell from EC2 Instance itself?
將現有 IAM 角色與 CloudFormation 中的 EC2 實例相關聯
[英]Associate existing IAM role with EC2 instance in CloudFormation
如何將 CloudWatchLogsFullAccess 附加到 EKS EC2 實例的 IAM 角色
[英]How to attach CloudWatchLogsFullAccess to the IAM role of EKS EC2 instance
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.