AWS Windows EC2 实例无法识别分配的 IAM 角色

IAM 角色不会与您的 AMI 捆绑在一起。

因此，当您从 AMI 启动新的 EC2 实例时，您必须将 IAM 角色分配给启动的新 EC2 实例。如果在启动时或之后没有分配角色，CLI 将无法找到凭证。

我最近在从自己的 AMI 部署 Windows EC2 实例时遇到了同样的问题。正如@Kugel (https://serverfault.com/users/138998/kugel) 在他们的回答 (此问题的上一个回答) 中提到，可以看到，执行 Get-NetRoute 命令时 NextHop 的值在新实例中不会改变，并且实例保留了生成 AMI 的基本实例中现有网络配置的先前值。

然后，为了解决这个问题，我使用新的 NextHop 值创建了新的网络路由，并删除了最旧的路由。以 @kugel 给出的输出为例，新路由的创建将是：

Set-NetRoute -InterfaceIndex 3 -DestinationPrefix "169.254.169.254/32" -RouteMetric 15 -NextHop 10.2.6.1

对其余目标前缀重复上一个命令（169.254.169.123/32、169.254.169.249/32、169.254.169.250/32、169.254.169.251/32 和 169.254.169.253/32）

一旦创建了新的网络路由，您就可以使用以下命令删除最旧的路由：

Remove-NetRoute -NextHop 10.2.4.1

上述命令将删除所有以该 IP 作为 NextHop 的实例。

命令参考：

• 设置新路线： https://docs.microsoft.com/en-us/powershell/module/nettcpip/set-netroute?view=win10-ps

• 删除路线： https://docs.microsoft.com/en-us/powershell/module/nettcpip/remove-netroute?view=win10-ps

我在遇到同样的问题时发现了这个问题。最终为我解决的是这个答案我在下面引用了它，以便不只通过链接就能得到答案。

有一个脚本调用InitializeInstance.ps1，它可以重置一些配置信息。

例如，如果实例已更改子网，则可能由于缓存的路由规则而无法正常工作。 InitializeInstance.ps1 可以纠正此问题。

正如该答案的最热评论所指出的：

在 Windows 实例中，此脚本位于此处：C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts\InitializeInstance.ps1

这已经是老问题了，但对于当前（2024 年第一季度）的类似问题，几乎没有任何帮助。即使在最新的实例元数据版本 (IMDSv2) 中，您也可能会发现自己处于端点iam根本不存在但其他元数据存在的情况：

$token = Invoke-RestMethod -Method PUT -Headers @{ "X-aws-ec2-metadata-token-ttl-seconds" = 21600 } -Uri http://169.254.169.254/latest/api/token

# You should see your role name here
Invoke-RestMethod -Headers @{ "X-aws-ec2-metadata-token" = $token } -Uri http://169.254.169.254/latest/meta-data/iam/security-credentials/

就我的情况来说/meta-data/iam/*，它丢失了，iam钥匙本身也丢失了。

原因是在实例首次启动后添加并链接我的实例角色。事实证明，有一些初始化脚本在首次启动时运行，如果您的实例配置文件和角色当时未链接到您的计算机，那么您就倒霉了。我有一个足够新的实例，我没有深入研究如何重新运行这些脚本，我相信这是可能的。当我终止我的实例并启动一个新实例时，密钥iam突然出现在那里，aws cli 和 powershell 工具很顺利。