AWS Backup의 인코딩된 권한 부여 오류 메시지를 디코딩하려면 어떻게 해야 하나요?

간략한 설명

권한 부여 상태의 세부 정보에 작업을 요청한 사용자가 볼 수 없는 권한 대상 정보가 포함될 수 있으므로 메시지가 인코딩됩니다. 디코딩된 메시지에 포함되는 정보 유형은 다음과 같습니다.

• 명시적으로 거부되거나 명시적 허용이 없다는 이유로 요청이 거부되었는지 여부. 자세한 내용은 계정 내에서 요청의 허용 또는 거부 결정 참조
• 요청을 한 주체
• 요청한 작업
• 요청한 리소스
• 사용자의 요청 컨텍스트에서 조건 키의 값

예를 들어 사용자가 요청한 작업을 수행할 권한이 사용자에게 없는 경우 요청이 Client.UnauthorizedOperation 응답(HTTP 403 응답)을 반환합니다. 일부 AWS 작업은 권한 부여 실패에 대한 세부 정보가 담겨 있을 수 있는 인코딩된 메시지도 반환합니다.

해결 방법

전제 조건: 권한 부여 상태 메시지를 디코딩하려면 sts:DecodeAuthorizationMessage AWS Identity and Access Management(IAM) 권한이 있어야 합니다.

권한 부여 상태 메시지를 디코딩하려면 AWS Command Line Interface(AWS CLI)를 사용하여 decode-authorization-message 명령을 실행합니다. 다음은 명령 예시입니다.

팁: Linux 기반 운영 체제를 사용하는 경우 이 명령을 jq 유틸리티(GitHub 웹사이트 제공)와 결합하여 사용자 친화적 출력을 볼 수 있습니다.

aws sts decode-authorization-message --encoded-message (encoded error message) --query DecodedMessage --output text | jq '.'

참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.

다음은 위 명령의 출력 예시입니다.

{  
"allowed": false,  

…..  

"context": {  
"principal": {  
"id": "AROAAAAAAAAAA:AWSBackup-AWSBackupDefaultServiceRole",  
"arn": "arn:aws:sts::111122223333:assumed-role/AWSBackupDefaultServiceRole/AWSBackup-AWSBackupDefaultServiceRole"  
},  
"action": "iam:PassRole",  
"resource": "arn:aws:iam::111122223333:role/AmazonSSMRoleForInstancesQuickSetup",  
"conditions": {  
"items": [  

…..  

}

출력 예시는 복원 역할이 AWSBackupDefaultServiceRole임을 보여줍니다. 복원 역할에는 iam:PassRole 권한이 있어야 인스턴스 복원에 필요한 AmazonSSMRoleForInstancesQuickSetup 역할과 상호 작용할 수 있습니다. 이 예시 문제를 해결하려면 IAM 정책을 사용하여 IAM 역할에 대한 권한을 추가하세요.

관련 정보

AWS Backup을 사용하여 실패한 Amazon EC2 복원 작업 문제를 해결하려면 어떻게 해야 하나요?