【以下的问题经过翻译处理】 这不是一个问题,更像是一个“错误报告”。解决方案已在此帖子中提供。
arn:aws:iam::aws:policy/AWSAppRunnerFullAccess
缺少创建 AWSServiceRoleForAppRunnerNetworking
服务角色的权限。
这使得即使使用 FullAccess
策略,也无法创建 vpc 连接器。错误消息并没有真正帮助,因为它所指出的策略实际上已经附加了。
复现步骤:
- 使用拥有
AWSAppRunnerFullAccess
权限的用户或扮演角色。
- 运行
aws apprunner create-vpc-connector --vpc-connector-name test-vpc-connector --subnets <subnets> --security-groups <security-groups>
该命令会产生以下错误: "An error occurred (InvalidRequestException) when calling the CreateVpcConnector operation: AccessDenied. Couldn't create a service-linked role for App Runner. When creating the first vpc connector in the account, caller must have the 'iam:CreateServiceLinkedRole' permission. Use the 'AWSAppRunnerFullAccess' managed user policy to ensure users have all required permissions."
临时解决方案:在资源 arn:aws:iam::*:role/aws-service-role/apprunner.amazonaws.com/AWSServiceRoleForAppRunner
上添加 Allow
iam:CreateServiceLinkedRole
的额外策略。
长期来看,我相信应该将其添加到 AWSAppRunnerFullAccess 中。