AWS re:Postを使用することにより、以下に同意したことになります 利用規約

IAMユーザがAuto Scalingの起動設定の作成に失敗する

0

フォーラムの皆様こんにちは。

私はus-west-2にてELBv2およびオートスケーリングを用いてWebサービスを運営しています。

そのサービスでは新しいバージョンのアプリケーションをデプロイする方法として、
新しいamiを作成して起動設定を差し替え、オートスケールグループの希望インスタンス数を増やし、
新しいインスタンスがhealthyとなったら古いものをターミネートするという
いわゆるローリングアップデートを採っています。

ここ一か月ほどなのですが、それらの運用に使用しているIAMユーザが既存の起動設定から
「起動設定のコピー」を選択し、使用するamiと起動設定の名前を変更し保存しようとすると
「An uknown error occurred」とのエラーメッセージで作成に失敗するようになってしまいました。

そのIAMユーザにはIAMグループを通じてAmazonEC2FullAccessのポリシーを与えているため、権限が足りないとは考えにくいです。

不幸中の幸いか、rootユーザを使用すれば新しい起動設定の作成が可能なため
現在はrootユーザを使用してそれら作業を行っていますが、あまり好ましい状態ではありません。
(もちろん、2要素認証は有効にしてあります)

この問題の解決方法をもしご存知の方がおられましたらお教えいただけますでしょうか。

Edited by: takayamaki on Dec 4, 2017 12:39 PM

質問済み 6年前28ビュー
3回答
0

そのIAMユーザにはIAMグループを通じてAmazonEC2FullAccessのポリシーを与えているため、権限が足りないとは考えにくいです。

そうとも言い切れない怖いところ (インスタンスプロファイルの取得のために EC2 の他に権限が必要など) があります。
適用されているポリシーの詳細、CloudTrail のログなど情報があれば解決のお手伝いができるかもしれません。

semnil
回答済み 6年前
0

返信ありがとうございます。

恥ずかしながら、CloudTrailの存在をご返信を読んで思い出し、解決しました。

結論から書きますと、運用ユーザ用のIAMグループにiam:PassRoleアクションの許可がなかったためPermission denyされていました。
オートスケーリンググループのインスタンスに対して他サービスと連携するためのIAMRoleを最近作成し設定していたためでした。

iam:PassRoleアクションのみを許可するアクセスポリシーを作成しIAMグループに付与することで起動設定の作成が可能となりました。

ご返信ありがとうございました。

回答済み 6年前
0

解決されたということで何よりです。
IAM 関連は私も個人的に苦労している部分が多く、少しでもヒントを提供できたようで幸いです。

semnil
回答済み 6年前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン