【发布时间】:2019-06-14 14:16:29
【问题描述】:
我的 EC2 实例具有以下 IAM 角色。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "~~~~",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/myrole": "true"
}
}
}
]
}
但是当我运行“aws ec2 describe-instances --instance-id i-00169bf14adaf25e4”命令时,
我收到错误“调用 DescribeInstances 操作时发生错误 (UnauthorizedOperation):您无权执行此操作。”
我测试了完整的 EC2 权限 IAM 角色,并且可以正常工作。
并阅读此https://forums.aws.amazon.com/thread.jspa?messageID=512129,但它是关于“资源”的。
官方文档没有谈到IAM角色。 (https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html)
我想我错过了一些“动作”部分,但找不到。
谁能告诉我哪个 IAM 角色适合我?或者我怎样才能找到它?
感谢您阅读本文。
【问题讨论】:
-
您能描述一下您想要实现的目标吗?您是否尝试授予调用
DescribeInstances的权限,但仅限于具有名为myRole的标签的实例? -
@JohnRotenstein 没错。为具有名为
myrole的标签的实例获取权限Describeinstances。 -
我认为您的代码当前正在检查标签
myRole是否具有true的值。 (请参阅IAM EC2 Resource Tags)我不确定您是否可以简单地测试标签名称的存在,而不考虑值。 -
我发现这不是我的错。我听说我公司的角色有错误。那个角色, "ec2:ResourceTag/myrole": "true" 是对的。感谢您的回答。 @JohnRotenstein
标签: amazon-ec2 amazon-iam