मैं "aws ec2 रन-इंस्टेंस" कमांड ( AWS कमांड लाइन इंटरफेस (CLI) से ) का उपयोग करके Amazon EC2 उदाहरण लॉन्च कर रहा हूं । मैं EC2 उदाहरण के लिए IAM भूमिका सेट करना चाहता हूं जिसे मैं लॉन्च कर रहा हूं। IAM भूमिका कॉन्फ़िगर की गई है और AWS वेब UI से एक उदाहरण लॉन्च करते समय मैं इसका सफलतापूर्वक उपयोग कर सकता हूं। लेकिन जब मैं उस कमांड का उपयोग करके ऐसा करने की कोशिश करता हूं, और "--iam-इंस्टेंस-प्रोफाइल" विकल्प, यह विफल हो गया। "Aws ec2 रन-इंस्टेंस मदद" करने से मूल्य के लिए अर्न = और नाम = सबफील्ड्स का पता चलता है। जब मैं अर्न का उपयोग करने की कोशिश करता हूं तो "aws iam सूची-उदाहरण-प्रोफाइल" का उपयोग करके यह त्रुटि संदेश देता है:
क्लाइंट त्रुटि (AccessDenied) हुई: उपयोगकर्ता: arn: aws: sts :: xxxxxxxxxxxx: मान लिया गया-भूमिका / शेल / i-15c2766d प्रदर्शन के लिए अधिकृत नहीं है: iam: ListInstance -rofiles on resource: arn: aws: iam :: xxxxxxxxxxxxx: example -प्रोफ़ाइल /
(जहां xxxxxxxxxxxx मेरा AWS 12-अंकीय खाता संख्या है)
मैंने वेब UI के माध्यम से अर्न स्ट्रिंग को देखा और उसको "--iam-inst-profile Arn = arn: aws: iam :: xxxxxxxxxxxx: inst-profile / shell" के माध्यम से रन-इंस्टेंस कमांड पर इस्तेमाल किया, और यह विफल रहा :
क्लाइंट त्रुटि (अनधिकृत रूप से) हुई: आप इस ऑपरेशन को करने के लिए अधिकृत नहीं हैं।
अगर मैं पूरी तरह से "--iam-inst-profile" विकल्प छोड़ देता हूं, तो उदाहरण लॉन्च हो जाएगा, लेकिन इसमें IAM भूमिका सेटिंग नहीं होगी जिसकी मुझे आवश्यकता है। ऐसा लगता है कि अनुमति का "--आइएम-इंस्टा-प्रोफाइल" या आईएएम डेटा तक पहुँचने के साथ कुछ करना है। मैंने AWS ग्लिच के मामले में कई बार दोहराया (वे कभी-कभी होते हैं) और कोई सफलता नहीं।
मुझे संदेह था कि शायद इस बात पर प्रतिबंध है कि IAM भूमिका वाली एक आवृत्ति को अधिक शक्तिशाली BAM भूमिका के साथ आवृत्ति लॉन्च करने की अनुमति नहीं है। लेकिन इस मामले में, मैं जिस उदाहरण में कमांड कर रहा हूं, उसी IAM की भूमिका है जिसे मैं उपयोग करने की कोशिश कर रहा हूं। "शेल" नाम दिया गया है (हालांकि मैंने एक दूसरे का उपयोग करने की भी कोशिश की, कोई भाग्य नहीं)।
क्या एक आईएएम भूमिका स्थापित करना एक उदाहरण से भी अनुमति नहीं है (आईएएम भूमिका क्रेडेंशियल के माध्यम से)?
क्या आईएएम भूमिकाओं का उपयोग करने के लिए कुछ उच्च IAM भूमिका की अनुमति की आवश्यकता है, केवल एक सादे उदाहरण को लॉन्च करने के लिए आवश्यक है?
क्या IAM भूमिका निर्दिष्ट करने के लिए "--iam-inst-profile" उपयुक्त तरीका है?
क्या मुझे अर्न स्ट्रिंग का सबसेट उपयोग करने की आवश्यकता है, या इसे किसी अन्य तरीके से प्रारूपित करना है?
क्या एक IAM भूमिका स्थापित करना संभव है जो किसी IAM भूमिका को एक्सेस कर सकता है (शायद एक "सुपर रूट IAM" ... यह नाम बना रहा है)?
FYI करें, सब कुछ में इंस्टेंसेस पर चलने वाला लिनक्स शामिल है। इसके अलावा, मैं यह सब एक उदाहरण से चला रहा हूं क्योंकि मैं अपने डेस्कटॉप पर इन उपकरणों को स्थापित नहीं कर सका। वह और मैं अपने IAM उपयोगकर्ता क्रेडेंशियल को किसी AWS स्टोरेज पर नहीं रखना चाहता, जैसा कि AWS द्वारा सलाह दिया गया है ।
उत्तर देने के बाद:
मैंने "PowerUserAccess" (बनाम "प्रशासक असफल") के लॉन्चिंग उदाहरण की अनुमति का उल्लेख नहीं किया क्योंकि मुझे एहसास नहीं था कि प्रश्न पूछे जाने के समय अतिरिक्त पहुंच की आवश्यकता थी। मैंने माना कि IAM भूमिका लॉन्च से जुड़ी "सूचना" थी। लेकिन यह वास्तव में इससे कहीं अधिक है। यह अनुमति देना है।