代码之家 › 专栏 › 技术社区 › Alexander Mills

如何将角色赋予角色-美国焊接学会:sts::913xxxx71:假定角色“

eks amazon-cloudwatch amazon-iam amazon-web-services

Alexander Mills · 技术社区 · 6 年前

我按照以下说明将EKS群集日志发送到CloudWatch:

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Container-Insights-setup-logs.html

因为它不起作用,我运行了建议的to命令来跟踪其中一个fluentd pods的日志:

kubectl logs fluentd-cloudwatch-fc7vx -n amazon-cloudwatch

我看到这个错误:

error\u class=Aws::CloudWatchLogs::Errors::AccessDeniedException错误 error=“用户: 美国焊接学会:sts::913xxxx71:假定角色/eksctl-prod-nodegroup-standard-wo-NodeInstanceRole-1ESBFXHSI966X/i-0937e3xx07ea6 无权执行:日志:上的DescribeGroups资源: 美国焊接学会:日志:us-west-2:913617820371:日志组::日志流:

我有一个具有正确权限的角色,但是如何将该角色授予 arn:aws:sts::913xxxxx71:assumed-role/eksctl-prod-nodegroup-standard-wo-NodeInstanceRole-1ESBFXHSI966X/i-0937e3xxxx07ea6 用户?

0 回复 | 直到 6 年前

Joe 6 年前

您需要执行步骤将CloudWatchAgentServerPolicy策略附加到此处记录的群集工作节点角色: https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Container-Insights-prerequisites.html

JD D 6 年前

要做到这一点,你需要承担这个角色。这可以通过几种不同的方式实现:

你可以设置一个 AWS profile 并以不同的角色来执行命令。
你可以使用像 awsudo

一个警告是,你所扮演的角色必须有一个信任关系设置,以便允许其他人承担它。在上面(1)的链接中有一个这样的信任关系设置示例。

也就是说,你可能不应该为你的用例做这些。

如果您的另一个角色处于需要更新以允许假设的状态,那么您只需更新 eksctl-prod-nodegroup-standard-wo-NodeInstanceRole-1ESBFXHSI966X 直接使用所需权限的角色。

理想情况下,您可以将角色与附加到另一个角色的具有所需权限的相同策略相关联。

推荐文章

hallibut · Lambda功能不工作的SST热重新加载

6 月前

Tim · 在java中,有没有更快的方法将字节数组写入文件?

6 月前

Tom McLean · 如何使用证书管理器制作的证书在AWS上创建到mongodb实例的TLS/SSL连接?健康检查失败

7 月前

Nuñito Calzada · AWS SDK 1.12.780 Java版的凭据

8 月前

Sampgun · CDN调用与lambda调用的巨大差异

8 月前

Mario MateaÈ · 无法从Elastic Beanstalk的EC2实例访问外部MongoDB Atlas数据库

8 月前

Tiago · 如何允许从一个安全组到另一个组的所有流量?

1 年前

Ercan Koc · 使用EKS和RDS Aurora在My VPC中努力切换到IPv6

1 年前

Andrew · CloudWatch错误:规则JobFailureRule应在堆栈范围内创建,但找不到堆栈

1 年前

explorer · AWS SageMaker项目模板创建失败

1 年前