En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Comment puis-je résoudre les erreurs de profil d'instance EC2 pour les rôles IAM ?

Lecture de 6 minute(s)
0

Je souhaite résoudre les erreurs de profil d'instance Amazon Elastic Compute Cloud (Amazon EC2) pour les rôles AWS Identity and Access Management (IAM).

Brève description

Lorsque vous essayez de créer, de mettre à jour, de supprimer ou d’attacher un profil d'instance sur une instance Amazon EC2, l'une des erreurs suivantes peut s'afficher :

  • « AccessDenied or unauthorized »
  • « No roles attached to instance profile. »
  • « Can't delete entity, remove role from instance profile »
  • « Active association errors on an EC2 instance »
  • « Instance profile already exists »
  • « The requested DurationSeconds exceeds the 1 hour session limit for roles »

Résolution

Utilisez les étapes de dépannage suivantes pour le message d'erreur que vous avez reçu.

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), reportez-vous à la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez la version la plus récente de l’AWS CLI.

« AccessDenied or unauthorized »

Cette erreur est généralement liée à des problèmes d'autorisation pour une stratégie IAM qui restreint l'accès. Pour résoudre les erreurs d'accès refusé ou les erreurs non autorisées, utilisez la solution suivante pour votre scénario.

Limites des autorisations

Si vos entités IAM (utilisateurs ou rôles) utilisent des limites d’autorisations, il est possible que votre stratégie IAM ne réponde pas à des exigences spécifiques. Pour plus d'informations, consultez la section Comment puis-je résoudre les problèmes d'accès refusés dus à des limites d'autorisations ?

Utilisateur racine ou entité IAM avec autorisations d'administrateur

Les entités IAM dotées de droits d'administrateur ou l'utilisateur racine du compte AWS rencontrent parfois des problèmes d'autorisation dans des scénarios spécifiques. Pour plus d'informations, consultez la section Comment puis-je résoudre les problèmes d'accès refusé à un utilisateur racine ou à un administrateur ?

Accès intercompte

Si vous avez essayé d'endosser un rôle IAM dans un compte croisé, vous devez disposer d'autorisations pour le compte IAM qui endosse le rôle IAM. Vous devez également disposer d'une autorisation sur l'autre compte AWS qui permet d'endosser le rôle IAM. Pour plus d’informations, consultez la section Comment puis-je résoudre l’erreur « AccessDenied » ou « Invalid information » lorsque j’essaie d’endosser un rôle IAM intercompte ?

Autorisations relatives à la stratégie IAM

Si vous avez essayé d'effectuer une action d'API sur une ressource AWS et que vous avez reçu l'erreur « AccessDenied ou unauthorized », vérifiez les autorisations associées à la stratégie. Pour plus d’informations, consultez la section Comment puis-je résoudre les erreurs d’accès refusé ou d’opération non autorisée à l’aide d’une stratégie IAM ?

Instances EC2

Si vous avez lancé une instance EC2 et que vous avez reçu une erreur « AccessDenied », un problème est peut-être survenu au niveau du profil d’instance ou des autorisations. Assurez-vous que vous disposez d'un nom de profil d'instance et d’un Amazon Resource Name (ARN) valides et que le profil d'instance utilise un rôle IAM. Pour en savoir plus, consultez la section Amazon EC2 : Lorsque j'essaie de lancer une instance avec un rôle, j'obtiens une erreur AccessDenied.

Obtenir des données pour résoudre les erreurs d'accès refusé ou non autorisées

Vous pouvez également utiliser les requêtes Amazon Athena ou l'AWS CLI pour obtenir des journaux d'erreurs en cas d'échec des appels d'API IAM. Vous pouvez utiliser ces données pour résoudre les problèmes supplémentaires en cas d'erreurs « access denied » ou « unauthorized ». Pour plus d'informations, consultez la section Comment puis-je obtenir des données pour aider à résoudre les erreurs d'accès refusé ou non autorisées liées aux autorisations IAM ?

« No roles attached to instance profile »

Cette erreur se produit car aucun rôle IAM n'est attaché au profil d'instance EC2. Utilisez la console de gestion AWS ou l'interface de ligne de commande AWS pour attacher un rôle IAM au profil d'instance EC2. Pour plus d'informations, consultez la section Comment puis-je attacher ou remplacer un profil d'instance sur une instance Amazon EC2 ?

« Can't delete entity remove role from instance profile »

Si vous avez utilisé la commande delete-instance-profile pour essayer de supprimer un profil d'instance, une erreur similaire à l’erreur suivante peut s’afficher :

« An error occurred (DeleteConflict) when calling the DeleteInstanceProfile operation: Cannot delete entity, must remove roles from instance profile first. »

Cette erreur se produit car un rôle est associé au profil d'instance.

Important : Avant de supprimer un profil d'instance, assurez-vous qu'aucune instance Amazon EC2 n'est en cours d'exécution.

Pour supprimer le profil d'instance, exécutez la commande de l'interface de ligne de commande AWS remove-role-from-instance-profile :

aws iam remove-role-from-instance-profile --instance-profile-name Your_Instance_Profile_Name --role-name Your_Role_Name

Puis, exécutez la commande de l’interface de ligne de commande AWS delete-instance-profile pour supprimer le profil :

aws iam delete-instance-profile --instance-profile-name Your_Instance_Profile_Name

« Active association errors on an EC2 instance »

Cette erreur se produit lorsque vous tentez de mettre à jour un profil d'instance auquel plusieurs rôles IAM sont associés.

Pour mettre à jour le profil d'instance, vous devez d'abord dissocier tous les rôles IAM qui lui sont associés. Pour plus d'informations, consultez la section Comment puis-je résoudre l'erreur « The association iip-assoc-xxxxxxxx is not the active association » sur mon instance EC2 ?

« Instance profile already exists »

Cette erreur s'est produite lorsque vous essayez de créer un profil d'instance qui existe déjà. Pour résoudre cette erreur, créez un profil d'instance avec un nom différent ou supprimez le profil d'instance et recréez-le.

Remarque : Si vous utilisez l'AWS CLI pour créer le rôle IAM, vous devez également l’utiliser pour créer le profil d'instance. Le nom du rôle IAM et le nom du profil d'instance peuvent être différents.

« The requested DurationSeconds exceeds the 1 hour session limit for roles »

Cette erreur se produit si vous avez utilisé l'API AssumeRole avec des informations d'identification de sécurité temporaires pour endosser un rôle IAM et que la session de rôle a dépassé 1 heure. Pour connaître les bonnes pratiques en matière de chaînage de rôles, consultez la section Puis-je augmenter la durée de la session de chaînage de rôles IAM ?

Informations connexes

Résoudre les problèmes liés à IAM et à Amazon EC2

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un mois