任务/容器中的AWS cli使用实例角色策略而不是任务角色
如果我从ECS上的容器中使用aws cli,那么附加到ECS实例角色的IAM策略似乎应该适用,但根本没有使用任务角色IAM策略。
脚本:
aws s3 cp local/file s3://remotebucket
S3 PutObject策略附加到任务角色,而不是实例角色-拒绝访问
S3 PutObject策略附加到实例角色,而不是任务角色-成功
我对任务中IAM的理解是,容器继承实例角色,但也包括任务角色中的策略?如何让第一个场景工作?http://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html
共有1个答案
在我脑子里想了一天之后,事实证明这个问题是由过时的AWS CLI引起的。http://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html#task-iam-roles-minimum-sdk
在我的例子中,我使用安装版本1.4.2的apt-get install aws-cli安装aws-cli。此版本不处理获取正确IAM所需的AWS_CONTAINER_CREDENTIALS_RELATIVE_URI环境变量。所以它默认获取实例的IAM。
解决方案是通过pip或捆绑安装来安装AWS CLI,以确保我拥有最新版本。这同样适用于AWS SDK-上面的链接中描述了所需的版本。
-
描述演示策略实施特性的任务 开启限流。这个任务展示如何使用Istio来动态限制到服务的流量
-
我已经为我的ansible Playbooks设置了基本目录架构。我定义了两个角色:-1)www:-管理所有的站点部署2)root:-执行与root相关的任务 我的根角色包含以下任务:-1)在目标服务器上设置一个新站点2)启动web服务器(apache,nginx) 我想在站点部署后重新启动我的apache服务器,为此,我在root roles的tasks下创建了一个名为apache-restar
-
Delegation roles Delegation roles allows assigning signing privileges to other repository collaborators. This is particularly interesting in organizations that have multiple people working on the same
-
当前设置:python应用程序在AWS EKS集群中作为Docker容器运行。AWS密钥在kubernetes集群中作为机密提供,以便python代码可以读取、初始化boto3会话并使用S3 bucket。 我想如何更改它:假设Docker容器在AWS EKS集群中运行的serviceaccount角色,然后使用此凭据初始化boto3会话并使用S3 bucket。我不想为每个服务提供AWS密钥,因
-
在我的程序中,我尝试向公会的(新)成员添加一个角色。但是,当我尝试将角色添加到成员时,我收到一条错误消息:“缺少权限”。令人困惑的是,bot已经拥有管理角色的权限。在我授予机器人管理员权限后,错误仍然出现。 对代码的进一步解释:Member tempMem:是应该接收学生角色的成员。Role getRole(字符串名称,Guild Guild):是一个方法,它只查看公会中的角色列表,并返回具有作为
-
【注意】Azure SQL Database 不支持服务器角色。 在“成员”选项卡,指定已选择的登录成为此服务器角色的成员。