如果我登录 EC2 实例并尝试发出命令
aws glacier list-vaults --account-id ######
我收到一条错误消息,提示用户没有权限,我能够为 IAM 用户提供正确的权限,并且它在本地计算机上运行正常。但它在 EC2 实例中不起作用。
我应该在哪里添加权限?在 EC2 实例中发出命令的实际用户是谁(例如,“aws s3”命令可以正常工作)
答案1
如果其他一些 aws cli 命令对你有用,最可能的原因是,有一个实例配置文件附加到实例。
实例配置文件是根据 EC2 角色创建的。要找出配置文件使用的 IAM 角色,请使用
aws sts get-caller-identity --query Arn
输出如下所示:
"arn:aws:sts::$accountID:assume-role/$rolename/$instanceID"
其中$instanceID是您要查找的 IAM 角色的名称。您需要glacier:ListVaults向此角色添加 IAM 权限。