運行特定 AWS CLI 命令需要哪些 AWS 權限

Question

我正在嘗試設置一個 ec2 實例（一個角色與這個實例相關聯）。 這個實例負責

1. 創建構建，並上傳到 s3 存儲桶
2. 從此構建中為 elasticbeanstalk 創建一個新的應用程序版本
3. 在 beantalk 上部署新創建的版本

我正在運行以下 3 個命令。 前 2 個執行成功。

aws s3 cp api-service-build.zip s3://build-bucket/api-service/2022-11-2022.zip

aws elasticbeanstalk create-application-version 
    --application-name api-service-stage 
    --version-label v5 
    --description "Version 5" 
    --source-bundle S3Bucket="build-bucket",S3Key="api-service/2022-11-2022.zip"

但是當我嘗試運行第三個命令時它無法部署（請注意 CLI 它沒有失敗）

aws elasticbeanstalk update-environment 
    --environment-name api-service-stage-env 
    --version-label v5

在 beantalk web console上，我可以看到以下錯誤

User: arn:aws:sts::xxxxxxxxx:assumed-role/MyAssumedRole/i-xxxxxx is not authorized to perform: autoscaling:DescribeAutoScalingGroups because no identity-based policy allows the autoscaling:DescribeAutoScalingGroups action (Service: AmazonAutoScaling; Status Code: 403; Error Code: AccessDenied;

我已經更新了我的政策超過 30 次，以達到上述點，但又一次權限錯誤。

有沒有一種方法或工具，我可以在其中粘貼我的命令，它會告訴我運行此命令需要什么權限

• aws s3 cp
• aws elasticbeanstalk 創建應用程序版本
• aws elasticbeanstalk 更新環境

到目前為止，我在 MyAssumedRoles 中添加的權限如下，我已經添加了很多點擊和嘗試，但它詢問另一個自動縮放。

1. S3 完全訪問
2. Elastic Beanstalk 完全訪問權限
3. CloudFormation 完全訪問權限

Answer 1

根據錯誤，您缺少 AutoScaling 權限。 它們與您已經添加的不同。 最好的測試方法是使用 AWS Policy Simulator。 請按照以下步驟操作：

1. 登錄到 AWS 控制台。
2. Go 到以下 URL： https://policysim.aws.amazon.com
3. 在用戶、組和角色下：Select 角色，然后是角色：MyAssumedRole
4. 您可以通過選擇操作來測試右側的訪問權限，例如在策略模擬器下選擇 select Auto Scaling，然后選擇操作 - DescribeScalingPlans。 Policy Simulator 將為您提供需要為您的角色添加的確切策略。