#amazon-web-services #amazon-ec2 #amazon-iam
#amazon-web-services #amazon-ec2 #amazon-iam
Вопрос:
У меня возникает болезненная ошибка, когда я использую визуальный редактор Iam для создания роли для запуска экземпляра, если я создаю две политики, первая, когда я неявно разрешаю все ресурсы:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
}
]
}
однако, если я указываю ресурсы, я явно разрешаю все ресурсы, я получаю эту политику:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:PassRole",
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*:*:launch-template/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:placement-group/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:capacity-reservation/*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:instance/*",
"arn:aws:elastic-inference:*:*:elastic-inference-accelerator/*",
"arn:aws:ec2:*:*:elastic-gpu/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*::image/*",
"arn:aws:iam::*:role/*"
]
}
]
}
когда я имитирую runInstance в EC2-Classic-InstanceStore, первая политика в симуляторе политики IAM проходит, однако вторая — нет. есть ли ресурс, который aws не указал в своем визуальном редакторе IAM? результаты смотрите на прикрепленных фотографиях: 
Комментарии:
1. Вы проверили этот поток ? Симулятор политики не идеален. Но в случае, похожем на ваш, для правильной работы должен был быть предоставлен точный ресурс.
2. Возможно, вы сможете проверить CloudTrail, чтобы получить дополнительную информацию о том, что он пытался сделать, и почему ему было отказано.