Тирон комментирует ваш вопрос.Проверьте разрешения пользователя, выполняющего CloudFormation.Если вы запускаете команды напрямую, это обычно довольно легко проверить.В некоторых случаях вы можете работать в более сложной среде с автоматизацией.
Я считаю, что лучший способ устранения проблем с разрешениями в автоматизированном мире - через CloudTrail.После сбоя любого вызова API, будь то из CLI, CloudFormation или другого источника, вы можете найти вызов в CloudTrail.
В этом случае во время поиска выполняется поиск «Event Name» = «CreateQueue»диапазон сбоя приведет к результату с деталями, подобными следующим:
- IP-адрес источника ;это поле может содержать что-то вроде cloudformation.amazonaws.com или IP-адрес вашего компьютера / офиса.Полезно, когда вам нужно отфильтровать события по источнику.
- Имя пользователя ;В моем случае это был идентификатор экземпляра EC2 агента, работающего с шаблоном CFN.
- Идентификатор ключа доступа ;Для экземпляров EC2 это, вероятно, набор учетных данных временного доступа, но для реального пользователя он покажет вам, какой ключ использовался.
- Фактические данные события ;Особенно полезно для ошибок без прав доступа, фактическое событие может показывать ошибки в самом запросе.
В моем случае конкретный экземпляр EC2, который запускал автоматизацию, устарел и должен быть обновлен доиспользуйте правильный профиль роли / экземпляра IAM.CloudTrail помог мне отследить это.