如何使用 aws cli 授权 IAM 云端分发？答案

【问题标题】：How to authorize IAM cloudfront distribution with aws cli?如何使用 aws cli 授权 IAM 云端分发？
【发布时间】：2019-08-29 20:39:12
【问题描述】：

我正在尝试将 AWS CLI 命令放入我的脚本中以设置 CloudFront 分配、添加 SSL 证书并创建到 S3 存储桶的 Route 53 路由。

当我尝试运行任何 aws cloudfront create-distribution..我被拒绝访问：

调用 CreateDistribution 操作时发生错误 (AccessDenied)：用户：arn:aws:iam::388628639254:user/MyUserName 无权执行：cloudfront:CreateDistribution

我尝试了以下建议： Access Denied when creating CloudFront invalidation with AWS CLI

我所有的资源都设置为*

我还向我的 IAM 用户添加了以下策略：

CloudFrontFullAccess
AdministratorAccess
IAMUserChangePassword
CloudFrontReadOnlyAccess
AmazonRoute53FullAccess
PowerUserAccess

我希望为我的账户授予权限并确定需要使用 AWS CLI 的哪个命令：

- Create Cloudfront Distribution
With Settings:
  - Add Domain
  - Redirect to HTTP/HTTPS 
  - Add custom SSL Cert
- Create Route 53 Record set for CloudFront

【问题讨论】：

标签： amazon-s3 amazon-cloudfront amazon-route53

【解决方案1】：

错误提示：

用户：arn:aws:iam::388628639254:user/MyUserName 无权执行：cloudfront:CreateDistribution

这意味着您用于执行命令的 IAM 用户没有获得足够的权限来创建 CloudFront 分配。

通常，这需要您的管理员授予您必要的访问权限，但您似乎可以自己配置 IAM。

此外，CloudFrontFullAccess 授予所有 CloudFront 权限，这似乎就足够了。

因此，很有可能在您运行这些命令时，您实际上并没有使用您所期望的凭据。错误消息显示用户名，因此请检查权限是否已添加到此用户。

接下来，尝试通过 CloudFront 管理控制台使用相同的用户创建 CloudFront 分配。这将测试您是否确实拥有必要的权限。如果这可行，那么它没有逻辑上的理由会通过 CLI 失败。

【讨论】：

感谢您的回答！你是对的，特权应该起作用。事实证明，我的本地 aws cli 使用的 IAM 用户与应有的不同。我已经在我的标志中添加了--profile default，但是我仍然无法通过 GUI 设置云端配置