Die Politik versagt legacy-Analyse

Ich versuche, erstellen von IAM-Rolle in der AWS, aber während ich am erstellen bin ich vor Fehler

"Stießen wir auf die folgenden Fehler während der Verarbeitung Ihrer Anfrage:
Problem bei der Befestigung Berechtigung zu Rolle. Die Rolle wird erstellt, ohne Erlaubnis.
Die Politik versagt legacy-Analyse "

{"Version": "2012-10-17",  "Statement": [
{
  "Effect": "Allow",
  "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents"
  ],
  "Resource": "arn:aws:logs:*:*:*"
},
{
  "Action": [
    "sqs:SendMessage",
    "sqs:GetQueueUrl"
  ],
  "Effect": "Allow",
  "Resource": "arn:aws:sqs:ap-northeast-1:SOME_ID_HERE:test-messages"
}]}
InformationsquelleAutor Mani Teja | 2017-03-27
  1. 15

    Bekam ich diese Fehlermeldung, und konnte nicht es herausfinden. Ein Kollege und ich übergossen, und dann haben wir entdeckt, dass ich verlassen hatte, eine substitution variable ohne die Fn::Sub z.B. 

    "Resource": "arn:aws:logs::${AWS::AccountId}:*

    Ursache für diesen Fehler, und der Kurs sollte

    "Resource": { "Fn::Sub": "arn:aws:logs::${AWS::AccountId}:*" }

    BTW, in meiner Erfahrung, ich Stimme mit E. J. Brennan oben, können Sie eine wildcard für die region, anstatt lassen Sie es leer, als ich dort Tat.

    • Unglaublich, dass cloudformation-Fehlerberichterstattung ist so schlecht, dass Sie haben, um Papier zu analysieren und zu Debuggen.
    InformationsquelleAutor rubyisbeautiful
  2. 1

    Wenn es nicht für s3, sicherzustellen, dass Sie den richtigen arn format:

    • Richtige ist 3 ::: arn:aws:s3:::AccountABucketName

      "Resource": "arn:aws:s3:::AccountABucketName"

    • Falsch 2 :: arn:aws:s3::AccountABucketName

      "Resource": "arn:aws:s3::AccountABucketName"

    InformationsquelleAutor aspdeepak
  3. 1

    Eine lustige neue Fehler Zustand, den ich heute gefunden:

    Wenn:

    • Sie haben eine CFN-Vorlage, wo Sie eine Konto-ID über den parameter
    • UND verwenden Sie die Default prop der parameter zu bieten, die Account-ID
    • UND die Konto-ID beginnt mit einem 0

    CFN tatsächlich Lesen der parameter als integer (und werfe es wie 9.3476294382E10)
    - unabhängig davon, ob Sie Type: String auf die parameter, oder verwenden Sie !!str explizit casten.

    Also die Lösung ist, manuell angeben der parameter für die Bereitstellung, anstatt die Default: "093476294382".

    Hoffe, dass ich jemand retten kann sonst einige Zeit.

    InformationsquelleAutor Max Kaye
  4. 0

    Ich glaube nicht, können Sie Platzhalter der region auf den arn, so müssen Sie möglicherweise etwas wie dies:

    arn:aws:logs:us-east-1:*:*

    wo Sie den Bereich anzugeben, den Sie verwenden an Stelle von us-east-1.

    Mehr Informationen hier:

    http://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs

    • Vielen Dank für die Beantwortung, obwohl ich den Bereich anzugeben, bin ich immer der gleiche Fehler.
    InformationsquelleAutor E.J. Brennan
  5. 0

    Einem Problem, das Sie haben, ist cloudwatch Logs ARNS 6 : Symbole, da gibt es ein extra-zwischen-log-Gruppe und Protokoll-stream. Zum Beispiel:

    "Resource": "arn:aws:logs:us-west-2:123456789012:/my/log/group:log-stream"

    oder für Ihren Fall:

    "Resource": "arn:aws:logs:*:*:*:*

    Habe ich festgestellt, dass einige ARNS wie die mehr spezifischen Beispiel oben geben diese Fehlermeldung aus, wenn eine 6.: wird nicht Hinzugefügt. Ich weiß, dies widerspricht der Dokumentation (einschließlich doc zur Verfügung gestellt von E. J), so ist es vielleicht ein bug bei AWS irgendwo

    http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html

    InformationsquelleAutor hayduke
  6. 0

    Ich würde denken, dass Sie tun konnte, 

        "Resource": "arn:aws:logs:us-west-2:123456789012:*"

    aber wenn nicht, können Sie die Zuordnung der Konten zu der region mit einer Abbildung:

        "mAWSRegionToAccountsMap": {
        "us-west-2": {
            "prod": "444444444673",
            "dev": "678333333333"

        },
        "us-gov-west-1": {
            "dev": "12345678903",
            "prod": "234345345345"
        }
    }

    Integrieren Sie die Zuordnung in eine Verknüpfung mit einem ":" für das Trennzeichen

        "Resource": {
        "Fn::Join": [
            ":",
            [
                "arn:aws:logs",
                { 
                    "Ref": "AWS::Region" 
                },
                {
                    "Fn::FindInMap": [
                        "mAWSRegionToAccountsMap",  {
                            "Ref": "AWS::Region"
                        },
                        "prod"
                    ]
                },
                "/*"
            ]
        ]
    }

    Müssen möglicherweise zu zwicken Ende

    InformationsquelleAutor BlackJeep
Schreibe einen Kommentar