Die Politik versagt legacy-Analyse
Ich versuche, erstellen von IAM-Rolle in der AWS, aber während ich am erstellen bin ich vor Fehler
"Stießen wir auf die folgenden Fehler während der Verarbeitung Ihrer Anfrage:
Problem bei der Befestigung Berechtigung zu Rolle. Die Rolle wird erstellt, ohne Erlaubnis.
Die Politik versagt legacy-Analyse "
{"Version": "2012-10-17", "Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:*"
},
{
"Action": [
"sqs:SendMessage",
"sqs:GetQueueUrl"
],
"Effect": "Allow",
"Resource": "arn:aws:sqs:ap-northeast-1:SOME_ID_HERE:test-messages"
}]}
Du musst angemeldet sein, um einen Kommentar abzugeben.
Bekam ich diese Fehlermeldung, und konnte nicht es herausfinden. Ein Kollege und ich übergossen, und dann haben wir entdeckt, dass ich verlassen hatte, eine substitution variable ohne die
Fn::Sub
z.B.Ursache für diesen Fehler, und der Kurs sollte
BTW, in meiner Erfahrung, ich Stimme mit E. J. Brennan oben, können Sie eine wildcard für die region, anstatt lassen Sie es leer, als ich dort Tat.
Wenn es nicht für s3, sicherzustellen, dass Sie den richtigen arn format:
Richtige ist 3 ::: arn:aws:s3:::AccountABucketName
"Resource": "arn:aws:s3:::AccountABucketName"
Falsch 2 :: arn:aws:s3::AccountABucketName
"Resource": "arn:aws:s3::AccountABucketName"
Eine lustige neue Fehler Zustand, den ich heute gefunden:
Wenn:
Default
prop der parameter zu bieten, die Account-ID0
CFN tatsächlich Lesen der parameter als integer (und werfe es wie 9.3476294382E10)
- unabhängig davon, ob Sie
Type: String
auf die parameter, oder verwenden Sie!!str
explizit casten.Also die Lösung ist, manuell angeben der parameter für die Bereitstellung, anstatt die
Default: "093476294382"
.Hoffe, dass ich jemand retten kann sonst einige Zeit.
Ich glaube nicht, können Sie Platzhalter der region auf den arn, so müssen Sie möglicherweise etwas wie dies:
wo Sie den Bereich anzugeben, den Sie verwenden an Stelle von us-east-1.
Mehr Informationen hier:
http://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs
Einem Problem, das Sie haben, ist cloudwatch Logs ARNS 6 : Symbole, da gibt es ein extra-zwischen-log-Gruppe und Protokoll-stream. Zum Beispiel:
"Resource": "arn:aws:logs:us-west-2:123456789012:/my/log/group:log-stream"
oder für Ihren Fall:
"Resource": "arn:aws:logs:*:*:*:*
Habe ich festgestellt, dass einige ARNS wie die mehr spezifischen Beispiel oben geben diese Fehlermeldung aus, wenn eine 6.: wird nicht Hinzugefügt. Ich weiß, dies widerspricht der Dokumentation (einschließlich doc zur Verfügung gestellt von E. J), so ist es vielleicht ein bug bei AWS irgendwo
http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html
Ich würde denken, dass Sie tun konnte,
aber wenn nicht, können Sie die Zuordnung der Konten zu der region mit einer Abbildung:
Integrieren Sie die Zuordnung in eine Verknüpfung mit einem ":" für das Trennzeichen
Müssen möglicherweise zu zwicken Ende