AWS CLI Client.UnauthorizedOperation, даже если установлены ключи

Я пытаюсь настроить инструменты AWS CLI и выполнял инструкции http://docs.aws.amazon.com/AWSEC2/latest/CommandLineReference/set-up-ec2-cli-linux.html#setting_up_ec2_command_linux

Однако после выполнения всех шагов и настройки моих AWS_ACCESS_KEY и AWS_SECRET_KEY, я получаю

$ ec2-describe-regions
Client.UnauthorizedOperation: You are not authorized to perform this operation. (Service: AmazonEC2; Status Code: 403; Error Code: UnauthorizedOperation; Request ID: 55f02cc4-2e9f-4a0a-8b55-46bcc1973f50)

Затем я попытался восстановить новые учетные данные, но все равно получал ту же ошибку. Кажется, я не мог найти информацию о ком-либо другом, имеющем эту проблему. Я пробовал передавать ключи с помощью -O и -W, но это тоже не работает.

Любая идея, что я могу делать неправильно?

Ответы

Ответ 1

Я нахожусь на свободном уровне и упростил предоставить политику администратора одному пользователю, который поддерживает доступ со всех инструментов командной строки amazon. вы можете понизить политику позже, если считаете, что политика слишком снисходительна.

  • посетите https://console.aws.amazon.com/iam/home
  • выберите policies в меню слева.
  • создать политику администратора из существующих политик амазонок
  • выберите администратора и присоедините к своему пользователю

aws policy grant

Предполагая, что вы настроили ключи доступа, теперь у вас должен быть полный доступ к командной строке для данного пользователя.

перед

› ec2-describe-regions
Client.UnauthorizedOperation: You are not authorized to perform this operation. (Service: AmazonEC2; Status Code: 403; Error Code: UnauthorizedOperation; Request ID: 3398ed18-1caf-4c04-865b-a54f796c653c)

после

› ec2-describe-regions
REGION  eu-central-1    ec2.eu-central-1.amazonaws.com
REGION  sa-east-1   ec2.sa-east-1.amazonaws.com
REGION  ap-northeast-1  ec2.ap-northeast-1.amazonaws.com
REGION  eu-west-1   ec2.eu-west-1.amazonaws.com
REGION  us-east-1   ec2.us-east-1.amazonaws.com
REGION  us-west-1   ec2.us-west-1.amazonaws.com
REGION  us-west-2   ec2.us-west-2.amazonaws.com
REGION  ap-southeast-2  ec2.ap-southeast-2.amazonaws.com
REGION  ap-southeast-1  ec2.ap-southeast-1.amazonaws.com

amazons UX занимает некоторое время, прежде чем привыкнуть к нему

Ответ 2

Очень жаль, что основное руководство по использованию инструментов CLI EC2 даже не упоминает об этом, но похоже, что проблема заключалась в том, что у меня не было правильной настройки политики в моей учетной записи IAM.

{
"Version": "2012-10-17",
"Statement": [{
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}]
}

См. эту ссылку для получения более подробной информации: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html

Ответ 3

Некоторые политики должны быть назначены пользователям и группам IAM вместо ролей IAM. Мы назначали политики типа AdministratorAccess или AmazonEC2FullAccess для роли IAM, созданной для федерации, и команды AWS CLI не выполнялись с тем же ответом.

Присвоение политик пользователям и группам IAM гарантировало, что политики будут работать. Для администраторов мы назначили политики, такие как политика AmazonEC2FullAccess. Для перечисления регионов и экземпляров, как требуется в команде describe-regions, таких правил, как AmazonEC2ReadOnlyAccess, достаточно, поскольку они содержат необходимые инструкции, позволяющие ограниченные действия по требуемым ресурсам.