代码之家 › 专栏 › 技术社区 › Alexander Mills

如何将角色赋予角色-美国焊接学会:sts::913xxxx71:假定角色“

eks amazon-cloudwatch amazon-iam amazon-web-services

Alexander Mills · 技术社区 · 6 年前

我按照以下说明将EKS群集日志发送到CloudWatch:

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Container-Insights-setup-logs.html

因为它不起作用,我运行了建议的to命令来跟踪其中一个fluentd pods的日志:

kubectl logs fluentd-cloudwatch-fc7vx -n amazon-cloudwatch

我看到这个错误:

error\u class=Aws::CloudWatchLogs::Errors::AccessDeniedException错误 error=“用户: 美国焊接学会:sts::913xxxx71:假定角色/eksctl-prod-nodegroup-standard-wo-NodeInstanceRole-1ESBFXHSI966X/i-0937e3xx07ea6 无权执行:日志:上的DescribeGroups资源: 美国焊接学会:日志:us-west-2:913617820371:日志组::日志流:

我有一个具有正确权限的角色,但是如何将该角色授予 arn:aws:sts::913xxxxx71:assumed-role/eksctl-prod-nodegroup-standard-wo-NodeInstanceRole-1ESBFXHSI966X/i-0937e3xxxx07ea6 用户?

0 回复 | 直到 6 年前

Joe 6 年前

您需要执行步骤将CloudWatchAgentServerPolicy策略附加到此处记录的群集工作节点角色: https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Container-Insights-prerequisites.html

JD D 6 年前

要做到这一点,你需要承担这个角色。这可以通过几种不同的方式实现:

你可以设置一个 AWS profile 并以不同的角色来执行命令。
你可以使用像 awsudo

一个警告是,你所扮演的角色必须有一个信任关系设置,以便允许其他人承担它。在上面(1)的链接中有一个这样的信任关系设置示例。

也就是说,你可能不应该为你的用例做这些。

如果您的另一个角色处于需要更新以允许假设的状态,那么您只需更新 eksctl-prod-nodegroup-standard-wo-NodeInstanceRole-1ESBFXHSI966X 直接使用所需权限的角色。

理想情况下,您可以将角色与附加到另一个角色的具有所需权限的相同策略相关联。

推荐文章

peterRepeater · 在禁用IAM控制台访问的情况下创建的Terraform配置的IAM用户

7 年前

Marc · Terraform:ECS服务-InvalidParameterException

7 年前

smeeb · DKIM配置的AWS SES标识“待定验证”

7 年前

Robin-Hoodie · 路由53 getHostedZone访问被拒绝。用户无权调用route53:GetHostedZone

7 年前

Anders Lundsgard · 在某些AWS Cli操作上提示MFA代码

7 年前

Nagalakshmi Srirama · 当我通过假设角色来尝试我的lambda时,我尝试访问不同帐户中的s3 bucket。I get GetObject操作:拒绝访问

7 年前

Daniel Birowsky Popeski · 如何仅允许AWS物联网订阅Cognito用户id(sub)下的主题?

7 年前

mthnic · AWS DynamoDB限制对IAM中属性值的访问

7 年前

Red · AWS Lambda Python S3读取文件错误

7 年前

ignorance · 假设IAM角色无权对资源:arn:aws:states::012345678910:Role执行:states:GetActivityTask/

7 年前