Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
Wie behebe ich den Fehler mit der Tagging-Berechtigung in meinem CloudFormation-Stack?
Ich möchte den Fehler der Tagging-Berechtigung beheben, den ich erhalte, wenn mein AWS CloudFormation-Stack fehlschlägt.
Kurzbeschreibung
Wenn du versuchst, eine Ressource zu erstellen oder zu aktualisieren, obwohl du nicht über die erforderlichen Tagging-Berechtigungen verfügst, wird die folgende Fehlermeldung angezeigt:
„Encountered a permissions error applying tags, please add required tag permissions. Retrying request without including tags. Details: Resource handler returned message: User: arn:aws:sts::123456789:example-assumed-role is not authorized to perform: < eg API: :iam:TagRole> on resource: arn:aws:iam::123456789:role/abc with an explicit deny in an identity-based policy.“
Diese Fehlermeldung wird durch unzureichende Berechtigungen in den Richtlinien verursacht, die mit deiner AWS Identity and Access Management (IAM)-Rolle verbunden sind. Um diesen Fehler zu beheben, musst du die fehlende Berechtigung, die in der Fehlermeldung angezeigt wird, der angenommenen Rolle hinzufügen.
Lösung
Hinweis: Wenn du beim Ausführen von Befehlen der AWS Command Line Interface (AWS CLI) Fehler erhältst, stelle sicher, dass du die neueste AWS CLI-Version verwendest.
Die fehlgeschlagene Rolle und API anzeigen
Bei Amazon Elastic Compute Cloud (Amazon EC2)-Ressourcen musst du zuerst die codierte Autorisierungsfehlermeldung decodieren. Führe den AWS CLI-Befehl decode-authorization-message aus, um die Rolle und die fehlgeschlagene API zu identifizieren.
Hinweis: Ersetze example-encoded-message durch deine codierte Nachricht und example-region durch deine AWS-Region.
aws sts decode-authorization-message --encoded-message <example-encoded-message> --example-region
Bei anderen Ressourcen, die nicht mit Amazon EC2 in Verbindung stehen, kannst du auf der Stack-Ereignisseite nachsehen, welche Rolle und welche API fehlgeschlagen ist.
Die IAM-Konsole verwenden, um den Fehler der Tagging-Berechtigung zu beheben
Eine neue Inline-Richtlinie erstellen
Führe die folgenden Schritte aus:
- Öffne die IAM-Konsole.
- Wähle dann im Navigationsbereich Benutzer oder Rollen aus.
- Wähle in der Liste den Benutzer- oder Rollennamen aus, in den du die neue Richtlinie einbetten möchtest.
- Wähle die Registerkarte Berechtigungen aus.
- Wähle Berechtigungen hinzufügen und dann Inline-Richtlinie erstellen aus.
- Wähle entweder die Option Visuell oder JSON aus, um die Richtlinie zu erstellen:
- Weitere Informationen über die Option Visuell findest du unter Erstellen von Richtlinien mit dem visuellen Editor.
- Weitere Informationen über die JSON-Option findest du unter Erstellen von Richtlinien mit dem JSON-Editor.
Hinweis: Achte darauf, dass du die erforderliche Berechtigung hinzufügst. Wenn du die neue Inline-Richtlinie erstellst, wird die erforderliche Berechtigung automatisch in deinen Benutzer oder deine Rolle eingebettet.
Eine bestehende Richtlinie bearbeiten
Behebe den Fehler mit der Tagging-Berechtigung, indem du eine bestehende Richtlinie bearbeitest.
Die AWS CLI verwenden, um den Fehler der Tagging-Berechtigung zu beheben
1. Führe den AWS CLI-Befehl put-role-policy aus, um die erforderliche Berechtigungsrichtlinie zu deiner Rolle hinzuzufügen:
aws iam put-role-policy ---role-name example-role-name --policy-name example-policy --policy-document file**:**//AdminPolicy.jso
Hinweis: Die Richtlinie wird als JSON-Dokument in der Datei AdminPolicy.json definiert. Der Dateiname und die Erweiterung sind nicht wichtig.
2. Stelle deinen CloudFormation-Stack erneut bereit.
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 5 Monaten
- AWS OFFICIALAktualisiert vor 4 Jahren