Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione dei problemi IAM e Amazon EC2
Le seguenti informazioni possono aiutarti a risolvere i IAM problemi con Amazon. EC2
Argomenti
- Quando provo a lanciare un'istanza, non vedo il ruolo nell'elenco dei IAMruoli della EC2 console Amazon
- Le credenziali per l'istanza si riferiscono al ruolo errato
- Quando tento di chiamare AddRoleToInstanceProfile, viene visualizzato un errore AccessDenied
- AmazonEC2: quando tento di avviare un'istanza con un ruolo, ricevo un AccessDenied errore
- Non riesco ad accedere alle credenziali di sicurezza temporanee sulla mia istanza EC2
- Cosa significano gli errori del info documento nel IAM sottoalbero?
Quando provo a lanciare un'istanza, non vedo il ruolo nell'elenco dei IAMruoli della EC2 console Amazon
Verifica quanto segue:
-
Se hai effettuato l'accesso come IAM utente, verifica di avere l'autorizzazione per chiamare
ListInstanceProfiles
. Per informazioni sulle autorizzazioni necessarie per lavorare con i ruoli, consultaAutorizzazioni necessarie per l'utilizzo dei ruoli con Amazon EC2. Per informazioni sull'aggiunta di autorizzazioni a un utente, consultare Gestisci IAM le politiche.Se non è possibile modificare le proprie autorizzazioni, è necessario contattare un amministratore con IAM cui collaborare per aggiornare le autorizzazioni.
-
Se hai creato un ruolo utilizzando IAM CLI oAPI, verifica quanto segue:
-
Hai creato un profilo di istanza e aggiunto il ruolo a quel profilo di istanza.
-
Hai usato lo stesso nome per il ruolo e il profilo dell'istanza. Se dai un nome diverso al ruolo e al profilo dell'istanza, non vedrai il nome corretto del ruolo nella EC2 console Amazon.
L'elenco dei IAMruoli nella EC2 console Amazon elenca i nomi dei profili di istanza, non i nomi dei ruoli. Sarà necessario selezionare il nome del profilo dell'istanza che contiene il ruolo desiderato. Per ulteriori informazioni sui profili dell'istanza, consultare Usa i profili di istanza.
Nota
Se usi la IAM console per creare ruoli, non devi lavorare con i profili di istanza. Per ogni ruolo creato nella IAM console, viene creato un profilo di istanza con lo stesso nome del ruolo e il ruolo viene aggiunto automaticamente a quel profilo di istanza. Un profilo di istanza può contenere solo un IAM ruolo e tale limite non può essere aumentato.
-
Le credenziali per l'istanza si riferiscono al ruolo errato
Il ruolo nel profilo dell'istanza potrebbe essere stato sostituito di recente. In questo caso, l'applicazione deve attendere la prossima rotazione delle credenziali pianificata automaticamente prima che le credenziali per il ruolo diventino disponibili.
Per forzare la modifica, devi dissociare il profilo dell'istanza e quindi associare il profilo dell'istanza oppure arrestare l'istanza e riavviarla.
Quando tento di chiamare AddRoleToInstanceProfile
, viene visualizzato un errore AccessDenied
Se stai effettuando richieste come IAM utente, verifica di disporre delle seguenti autorizzazioni:
-
iam:AddRoleToInstanceProfile
con la risorsa corrispondente al profilo dell'istanza ARN (ad esempio,arn:aws:iam::999999999999:instance-profile/ExampleInstanceProfile
).
Per ulteriori informazioni sulle autorizzazioni necessarie per lavorare con i ruoli, vedereCome si inizia?. Per informazioni sull'aggiunta di autorizzazioni a un utente, consultare Gestisci IAM le politiche.
AmazonEC2: quando tento di avviare un'istanza con un ruolo, ricevo un AccessDenied
errore
Verifica quanto segue:
-
Avviare un'istanza senza un profilo dell'istanza. Ciò contribuirà a garantire che il problema sia limitato ai IAM ruoli per EC2 le istanze Amazon.
-
Se stai effettuando richieste come IAM utente, verifica di disporre delle seguenti autorizzazioni:
-
ec2:RunInstances
con una risorsa jolly ("*") -
iam:PassRole
con la risorsa corrispondente al ruolo ARN (ad esempio,arn:aws:iam::999999999999:role/ExampleRoleName
)
-
-
Invoca l'IAM
GetInstanceProfile
azione per assicurarti di utilizzare un nome di profilo di istanza valido o un profilo di istanza validoARN. Per ulteriori informazioni, consulta Usare IAM i ruoli con EC2 le istanze Amazon. -
Invoca l'IAM
GetInstanceProfile
azione per assicurarti che il profilo dell'istanza abbia un ruolo. I profili dell'istanza vuoti genereranno un erroreAccessDenied
. Per ulteriori informazioni sulla creazione di un ruolo, consultare IAMcreazione di ruoli.
Per ulteriori informazioni sulle autorizzazioni necessarie per lavorare con i ruoli, Come si inizia? consulta. Per informazioni sull'aggiunta di autorizzazioni a un utente, consultare Gestisci IAM le politiche.
Non riesco ad accedere alle credenziali di sicurezza temporanee sulla mia istanza EC2
Per accedere alle credenziali di sicurezza temporanee sulla tua EC2 istanza, devi prima utilizzare la IAM console per creare un ruolo. Quindi si avvia un'EC2istanza che utilizza quel ruolo ed esamina l'istanza in esecuzione. Per ulteriori informazioni, consulta How Do I Get Started? in Usa un IAM ruolo per concedere le autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2.
Se ancora non riesci ad accedere alle credenziali di sicurezza temporanee sull'EC2istanza, controlla quanto segue:
-
Puoi accedere a un'altra parte di Instance Metadata Service ()IMDS? In caso contrario, verifica di non avere regole del firewall che blocchino l'accesso alle richieste a. IMDS
[ec2-user@domU-12-31-39-0A-8D-DE ~]$
GET http://169.254.169.254/latest/meta-data/hostname; echo
-
Il
iam
sottoalbero di IMDS esiste? In caso contrario, verifica che all'istanza sia associato un profilo di IAM istanza chiamando l'EC2DescribeInstances
APIoperazione o utilizzando ilaws ec2 describe-instances
CLI comando.[ec2-user@domU-12-31-39-0A-8D-DE ~]$
GET http://169.254.169.254/latest/meta-data/iam; echo
-
Controllate la presenza di errori nel
info
documento nel IAM sottoalbero. Se è presente un errore, consultare Cosa significano gli errori del info documento nel IAM sottoalbero? per ulteriori informazioni.[ec2-user@domU-12-31-39-0A-8D-DE ~]$
GET http://169.254.169.254/latest/meta-data/iam/info; echo
Cosa significano gli errori del info
documento nel IAM sottoalbero?
Il documento iam/info
indica "Code":"InstanceProfileNotFound"
Il profilo dell'IAMistanza è stato eliminato e Amazon non EC2 può più fornire le credenziali all'istanza. Devi allegare un profilo di istanza valido alla tua EC2 istanza Amazon.
Se esiste un profilo dell'istanza con il nome specificato, controllare che tale profilo non sia stato eliminato e che ne sia stato creato un altro con lo stesso nome:
-
Chiama l'IAM
GetInstanceProfile
operazione per ottenere ilInstanceProfileId
. -
Chiama l'EC2
DescribeInstances
operazione Amazon per ottenere il codiceIamInstanceProfileId
per l'istanza. -
Verifica che il
InstanceProfileId
risultato dell'IAMoperazioneIamInstanceProfileId
corrisponda a quello dell'EC2operazione Amazon.
Se IDs sono diversi, il profilo di istanza associato alle istanze non è più valido. È necessario collegare un profilo dell'istanza valido all'istanza.
Il documento iam/info
indica un esito positivo, ma indica anche "Message":"Instance Profile does not
contain a role..."
Il ruolo è stato rimosso dal profilo dell'istanza dall'IAMRemoveRoleFromInstanceProfile
azione. È possibile utilizzare l'IAMAddRoleToInstanceProfile
azione per associare un ruolo al profilo dell'istanza. L'applicazione dovrà attendere il successivo aggiornamento pianificato per accedere alle credenziali del ruolo.
Per forzare la modifica, devi dissociare il profilo dell'istanza e quindi associare il profilo dell'istanza oppure arrestare l'istanza e riavviarla.
Il documento iam/security-credentials/[role-name]
indica "Code":"AssumeRoleUnauthorizedAccess"
Amazon EC2 non è autorizzata ad assumere il ruolo. L'autorizzazione ad assumere il ruolo è determinata dalla policy di affidabilità collegata al ruolo, come nell'esempio che segue. Usa il IAM UpdateAssumeRolePolicy
API per aggiornare la politica di fiducia.
{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Principal": {"Service": ["ec2.amazonaws.com"]},"Action": ["sts:AssumeRole"]}]}
L'applicazione dovrà attendere il successivo aggiornamento pianificato automaticamente per accedere alle credenziali del ruolo.
Per forzare la modifica, devi dissociare il profilo dell'istanza e quindi associare il profilo dell'istanza oppure arrestare l'istanza e riavviarla.