web-dev-qa-db-ja.com

AWS CLIを介して新しいバージョンをデプロイするために必要なElasticBeanstalkアクセス許可

Elastic Beanstalkアプリケーションに新しいバージョンをデプロイするための適切なアクセス許可を提供すると考えたIAMポリシー設定があります。私はまだInsufficientPrivilegesExceptionを得ています、具体的には:

aws elasticbeanstalk update-environment --environment-name LearnTfsBff --version-label LearnTfsBff-30

UpdateEnvironment操作の呼び出し時にエラー(InsufficientPrivilegesException)が発生しました:アクセスが拒否されました

これは、展開ユーザーに設定されたポリシーです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:*",
                "cloudformation:GetTemplate",
                "cloudformation:DescribeStackResource",
                "cloudformation:DescribeStackResources",
                "autoscaling:*",
                "cloudfront:CreateInvalidation",
                "ec2:describeVpcs",
                "ec2:DescribeImages",
                "elasticbeanstalk:CreateApplicationVersion",
                "elasticbeanstalk:DescribeApplications",
                "elasticbeanstalk:DescribeApplicationVersions",
                "elasticbeanstalk:DescribeEnvironments",
                "elasticbeanstalk:UpdateEnvironment",
                "elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:RegisterInstancesWithLoadBalancer",
                "s3:ListAllMyBuckets",
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::learn-tfs-builds"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:*"
            ],
            "Resource": "arn:aws:s3:::learn-tfs-*"
        }
    ]
}

追加してみました"elasticbeanstalk:*"は許可されたアクションであり、特権の問題は解決されませんでした。追加した "*"許可されているとおりに解決されますが、許容される解決策ではありません。

AWS内で必要な特定のアクセス許可をデバッグするにはどうすればよいですか?

おかげで、

サム

4
Sam

このガイド から、Elastic beanstalkバケットにもIEでS3アクセスが必要になる可能性があるようです:IE:

{
"Action": [
 "s3:PutObject",
 "s3:PutObjectAcl",
 "s3:GetObject",
 "s3:GetObjectAcl",
 "s3:ListBucket",
 "s3:DeleteObject",
 "s3:GetBucketPolicy",
 "s3:CreateBucket"
],
"Effect": "Allow",
"Resource": [
 "arn:aws:s3:::elasticbeanstalk-[region]-[accountid]",
 "arn:aws:s3:::elasticbeanstalk-[region]-[accountid]/*"
]
}