Risoluzione dei problemi IAM e Amazon EC2 - AWS Identity and Access Management
Quando provo a lanciare un'istanza, non vedo il ruolo nell'elenco dei IAMruoli della EC2 console AmazonLe credenziali per l'istanza si riferiscono al ruolo erratoQuando tento di chiamare AddRoleToInstanceProfile, viene visualizzato un errore AccessDeniedAmazonEC2: quando tento di avviare un'istanza con un ruolo, ricevo un AccessDenied erroreNon riesco ad accedere alle credenziali di sicurezza temporanee sulla mia istanza EC2Cosa significano gli errori del info documento nel IAM sottoalbero?

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi IAM e Amazon EC2

Le seguenti informazioni possono aiutarti a risolvere i IAM problemi con Amazon. EC2

Quando provo a lanciare un'istanza, non vedo il ruolo nell'elenco dei IAMruoli della EC2 console Amazon

Verifica quanto segue:

  • Se hai effettuato l'accesso come IAM utente, verifica di avere l'autorizzazione per chiamareListInstanceProfiles. Per informazioni sulle autorizzazioni necessarie per lavorare con i ruoli, consultaAutorizzazioni necessarie per l'utilizzo dei ruoli con Amazon EC2. Per informazioni sull'aggiunta di autorizzazioni a un utente, consultare Gestisci IAM le politiche.

    Se non è possibile modificare le proprie autorizzazioni, è necessario contattare un amministratore con IAM cui collaborare per aggiornare le autorizzazioni.

  • Se hai creato un ruolo utilizzando IAM CLI oAPI, verifica quanto segue:

    • Hai creato un profilo di istanza e aggiunto il ruolo a quel profilo di istanza.

    • Hai usato lo stesso nome per il ruolo e il profilo dell'istanza. Se dai un nome diverso al ruolo e al profilo dell'istanza, non vedrai il nome corretto del ruolo nella EC2 console Amazon.

    L'elenco dei IAMruoli nella EC2 console Amazon elenca i nomi dei profili di istanza, non i nomi dei ruoli. Sarà necessario selezionare il nome del profilo dell'istanza che contiene il ruolo desiderato. Per ulteriori informazioni sui profili dell'istanza, consultare Usa i profili di istanza.

    Nota

    Se usi la IAM console per creare ruoli, non devi lavorare con i profili di istanza. Per ogni ruolo creato nella IAM console, viene creato un profilo di istanza con lo stesso nome del ruolo e il ruolo viene aggiunto automaticamente a quel profilo di istanza. Un profilo di istanza può contenere solo un IAM ruolo e tale limite non può essere aumentato.

Le credenziali per l'istanza si riferiscono al ruolo errato

Il ruolo nel profilo dell'istanza potrebbe essere stato sostituito di recente. In questo caso, l'applicazione deve attendere la prossima rotazione delle credenziali pianificata automaticamente prima che le credenziali per il ruolo diventino disponibili.

Per forzare la modifica, devi dissociare il profilo dell'istanza e quindi associare il profilo dell'istanza oppure arrestare l'istanza e riavviarla.

Quando tento di chiamare AddRoleToInstanceProfile, viene visualizzato un errore AccessDenied

Se stai effettuando richieste come IAM utente, verifica di disporre delle seguenti autorizzazioni:

  • iam:AddRoleToInstanceProfilecon la risorsa corrispondente al profilo dell'istanza ARN (ad esempio,arn:aws:iam::999999999999:instance-profile/ExampleInstanceProfile).

Per ulteriori informazioni sulle autorizzazioni necessarie per lavorare con i ruoli, vedereCome si inizia?. Per informazioni sull'aggiunta di autorizzazioni a un utente, consultare Gestisci IAM le politiche.

AmazonEC2: quando tento di avviare un'istanza con un ruolo, ricevo un AccessDenied errore

Verifica quanto segue:

  • Avviare un'istanza senza un profilo dell'istanza. Ciò contribuirà a garantire che il problema sia limitato ai IAM ruoli per EC2 le istanze Amazon.

  • Se stai effettuando richieste come IAM utente, verifica di disporre delle seguenti autorizzazioni:

    • ec2:RunInstances con una risorsa jolly ("*")

    • iam:PassRolecon la risorsa corrispondente al ruolo ARN (ad esempio,arn:aws:iam::999999999999:role/ExampleRoleName)

  • Invoca l'IAMGetInstanceProfileazione per assicurarti di utilizzare un nome di profilo di istanza valido o un profilo di istanza validoARN. Per ulteriori informazioni, consulta Usare IAM i ruoli con EC2 le istanze Amazon.

  • Invoca l'IAMGetInstanceProfileazione per assicurarti che il profilo dell'istanza abbia un ruolo. I profili dell'istanza vuoti genereranno un errore AccessDenied. Per ulteriori informazioni sulla creazione di un ruolo, consultare IAMcreazione di ruoli.

Per ulteriori informazioni sulle autorizzazioni necessarie per lavorare con i ruoli, Come si inizia? consulta. Per informazioni sull'aggiunta di autorizzazioni a un utente, consultare Gestisci IAM le politiche.

Non riesco ad accedere alle credenziali di sicurezza temporanee sulla mia istanza EC2

Per accedere alle credenziali di sicurezza temporanee sulla tua EC2 istanza, devi prima utilizzare la IAM console per creare un ruolo. Quindi si avvia un'EC2istanza che utilizza quel ruolo ed esamina l'istanza in esecuzione. Per ulteriori informazioni, consulta How Do I Get Started? in Usa un IAM ruolo per concedere le autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2.

Se ancora non riesci ad accedere alle credenziali di sicurezza temporanee sull'EC2istanza, controlla quanto segue:

  • Puoi accedere a un'altra parte di Instance Metadata Service ()IMDS? In caso contrario, verifica di non avere regole del firewall che blocchino l'accesso alle richieste a. IMDS

    [ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/hostname; echo

  • Il iam sottoalbero di IMDS esiste? In caso contrario, verifica che all'istanza sia associato un profilo di IAM istanza chiamando l'EC2DescribeInstancesAPIoperazione o utilizzando il aws ec2 describe-instances CLI comando. 

    [ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/iam; echo

  • Controllate la presenza di errori nel info documento nel IAM sottoalbero. Se è presente un errore, consultare Cosa significano gli errori del info documento nel IAM sottoalbero? per ulteriori informazioni.

    [ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/iam/info; echo

Cosa significano gli errori del info documento nel IAM sottoalbero?

Il documento iam/info indica "Code":"InstanceProfileNotFound"

Il profilo dell'IAMistanza è stato eliminato e Amazon non EC2 può più fornire le credenziali all'istanza. Devi allegare un profilo di istanza valido alla tua EC2 istanza Amazon.

Se esiste un profilo dell'istanza con il nome specificato, controllare che tale profilo non sia stato eliminato e che ne sia stato creato un altro con lo stesso nome:

  1. Chiama l'IAMGetInstanceProfileoperazione per ottenere ilInstanceProfileId.

  2. Chiama l'EC2DescribeInstancesoperazione Amazon per ottenere il codice IamInstanceProfileId per l'istanza.

  3. Verifica che il InstanceProfileId risultato dell'IAMoperazione IamInstanceProfileId corrisponda a quello dell'EC2operazione Amazon.

Se IDs sono diversi, il profilo di istanza associato alle istanze non è più valido. È necessario collegare un profilo dell'istanza valido all'istanza.

Il documento iam/info indica un esito positivo, ma indica anche "Message":"Instance Profile does not contain a role..."

Il ruolo è stato rimosso dal profilo dell'istanza dall'IAMRemoveRoleFromInstanceProfileazione. È possibile utilizzare l'IAMAddRoleToInstanceProfileazione per associare un ruolo al profilo dell'istanza. L'applicazione dovrà attendere il successivo aggiornamento pianificato per accedere alle credenziali del ruolo.

Per forzare la modifica, devi dissociare il profilo dell'istanza e quindi associare il profilo dell'istanza oppure arrestare l'istanza e riavviarla.

Il documento iam/security-credentials/[role-name] indica "Code":"AssumeRoleUnauthorizedAccess"

Amazon EC2 non è autorizzata ad assumere il ruolo. L'autorizzazione ad assumere il ruolo è determinata dalla policy di affidabilità collegata al ruolo, come nell'esempio che segue. Usa il IAM UpdateAssumeRolePolicy API per aggiornare la politica di fiducia. 

{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Principal": {"Service": ["ec2.amazonaws.com"]},"Action": ["sts:AssumeRole"]}]}

L'applicazione dovrà attendere il successivo aggiornamento pianificato automaticamente per accedere alle credenziali del ruolo.

Per forzare la modifica, devi dissociare il profilo dell'istanza e quindi associare il profilo dell'istanza oppure arrestare l'istanza e riavviarla.