我正在尝试恢复 RDS Oracle 数据库快照并收到错误,例如“您无权执行此操作。(服务:Amazon EC2;核心状态:403......)
这里尝试恢复快照的用户已经具有 RDSAullAccess 权限,该权限具有 EC2-Describe 权限。
任何帮助都将非常感激。
答案1
此示例显示如何创建 IAM 策略以允许通过 API 和控制台恢复 RDS 实例。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"rds:CreateDBParameterGroup",
"rds:CreateDBSnapshot",
"rds:DeleteDBSnapshot",
"rds:Describe*",
"rds:DownloadDBLogFilePortion",
"rds:List*",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyOptionGroup",
"rds:RebootDBInstance",
"rds:RestoreDBInstanceFromDBSnapshot",
"rds:RestoreDBInstanceToPointInTime"
],
"Resource": "*"
}
]
}
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_rds_db-console.html
答案2
我最终找到了问题的原因,发生这种情况的原因是用户试图创建并附加一个新的 SG,而不是现有的 SG。
我花了很长时间才弄明白,因为在 CloudTrail 中我只寻找与快照相关的 API 调用,但没有任何相关内容,后来当我检查该时间范围内的所有日志时就很容易弄明白了。