IAMユーザがAuto Scalingの起動設定の作成に失敗する

Question

フォーラムの皆様こんにちは。  
  
私はus-west-2にてELBv2およびオートスケーリングを用いてWebサービスを運営しています。  
  
そのサービスでは新しいバージョンのアプリケーションをデプロイする方法として、  
新しいamiを作成して起動設定を差し替え、オートスケールグループの希望インスタンス数を増やし、  
新しいインスタンスがhealthyとなったら古いものをターミネートするという  
いわゆるローリングアップデートを採っています。  
  
ここ一か月ほどなのですが、それらの運用に使用しているIAMユーザが既存の起動設定から  
「起動設定のコピー」を選択し、使用するamiと起動設定の名前を変更し保存しようとすると  
「An uknown error occurred」とのエラーメッセージで作成に失敗するようになってしまいました。  
  
そのIAMユーザにはIAMグループを通じてAmazonEC2FullAccessのポリシーを与えているため、権限が足りないとは考えにくいです。  
  
不幸中の幸いか、rootユーザを使用すれば新しい起動設定の作成が可能なため  
現在はrootユーザを使用してそれら作業を行っていますが、あまり好ましい状態ではありません。  
(もちろん、2要素認証は有効にしてあります)  
  
この問題の解決方法をもしご存知の方がおられましたらお教えいただけますでしょうか。  
  
Edited by: takayamaki on Dec 4, 2017 12:39 PM

Answer

解決されたということで何よりです。  
IAM 関連は私も個人的に苦労している部分が多く、少しでもヒントを提供できたようで幸いです。

Answer

> そのIAMユーザにはIAMグループを通じてAmazonEC2FullAccessのポリシーを与えているため、権限が足りないとは考えにくいです。  
  
そうとも言い切れない怖いところ (インスタンスプロファイルの取得のために EC2 の他に権限が必要など) があります。  
適用されているポリシーの詳細、CloudTrail のログなど情報があれば解決のお手伝いができるかもしれません。

Answer

返信ありがとうございます。  
  
恥ずかしながら、CloudTrailの存在をご返信を読んで思い出し、解決しました。  
  
結論から書きますと、運用ユーザ用のIAMグループにiam:PassRoleアクションの許可がなかったためPermission denyされていました。  
オートスケーリンググループのインスタンスに対して他サービスと連携するためのIAMRoleを最近作成し設定していたためでした。  
  
iam:PassRoleアクションのみを許可するアクセスポリシーを作成しIAMグループに付与することで起動設定の作成が可能となりました。  
  
ご返信ありがとうございました。

IAMユーザがAuto Scalingの起動設定の作成に失敗する

相关内容