- 新しい順
- 投票が多い順
- コメントが多い順
IAMユーザーにはAdministratorAccessをアタッチして試していました。
一般のIAMユーだと作成できました。 rootだと作れない仕様なのだと思います。
諸々ご教示いただきまして、ありがとうございました。
信頼ポリシーを以下のドキュメントに記載されているものに変更してみてはいかがでしょうか?
https://docs.aws.amazon.com/ja_jp/ses/latest/dg/event-publishing-add-event-destination-firehose.html
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333",
"AWS:SourceArn": "arn:aws:ses:delivery-region:111122223333:configuration-set/configuration-set-name"
}
}
}
]
}
ちなみにnss-kinesis-roleはKinesis Firehoseでも使用しているIAMロールでしょうか?
その場合は、SES用のIAMロールとKinesis用のIAMロールでそれぞれ分けて設定してみてください。
コメントありがとうございます。
SES側の信頼ポリシーを提示いただいた物にしてみましたが、エラーに変化なく改善しませんでした。 (IDは使用しているアカウントのものに変更しております)
また、SES側とKinesis側でロールを分けましたが、それでもエラーの変化はありませんでした SES側はnss-kinesis-roleを使用し、Kinesis側は、作成時に自動で作成されたロールを割り当てております。
詳細にありがとうございます ワタシの方でも同じように設定して試してみました
以下の考え方で試しております。(そもそもこの考え方に誤りがあれば、ご指摘いただけますと幸いです。)
- IAMロール(nss-kinesis-role)の信頼関係はSES向けに設定して、許可ポリシーをfirehose側に向ける。
- SES、firehoseともにResourceでarnまで指定する
◆結果 状況変わらずで「Could not assume IAM role arn:aws:iam::●:●:●:role/nss-kinesis-role.」のエラーが発生します。。
諸々のキャプチャを添付いたします
ご確認いただきまして、アドバイスいただけますと幸いです。
どうぞ、よろしくお願いいたします。
エラーの内容的には信頼ポリシーに問題があると思うのですが、私の環境では再現ができません。 念のための確認なのですが、信頼ポリシーで指定している「AWS:SourceAccount」はnspro様のAWSアカウントIDと一致していますか?
はい。IDと一致しておりました。 rootだと不可とかありますでしょうか?
ルートユーザーだと全部の操作ができるはずなので問題無いと思いますが、私はIAMユーザーで試したので、一度IAMユーザーで設定を行ってみてください。
ありがとうございます。IAMユーザでも試してみます。 お使いのIAMの設定について、可能な範囲で構いませんので、ご教示いただくことは可能でしょうか?
関連するコンテンツ
- 質問済み 6ヶ月前
- 質問済み 5年前
- AWS公式更新しました 2ヶ月前
- AWS公式更新しました 4年前
- AWS公式更新しました 1年前
私の環境で同じIAMロールを作成して設定してみたのですが、同じエラーを再現することができませんでした。 CloudTrailのイベント履歴から詳細な内容を確認することは可能でしょうか?

「CreateConfigurationSetEventDestination」イベントで検索ができると思います。 https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/tutorial-event-history.html
私の環境と同じ設定になっているように見受けられます。 エラーの内容的には信頼ポリシーに問題があると思うのですが、私の環境では再現ができません。 念のための確認なのですが、信頼ポリシーで指定している「AWS:SourceAccount」はnspro様のAWSアカウントIDと一致していますか?
ルートユーザーだと全部の操作ができるはずなので問題無いと思いますが、私はIAMユーザーで試したので、一度IAMユーザーで設定を行ってみてください。
IAMユーザーにはAdministratorAccessをアタッチして試していました。 https://docs.aws.amazon.com/ja_jp/aws-managed-policy/latest/reference/AdministratorAccess.html