Как использовать учетные данные профиля экземпляра, доступные при запуске экземпляра ec2?

Question

Я хочу создать теги из запущенного экземпляра ec2, для этого мне нужны учетные данные, и я хотел использовать учетные данные, доступные в curl -s http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance. Я установил ключ доступа, секретный ключ и токен сеанса в качестве переменных env из приведенного выше URL. Теперь я попытался

aws ec2 create-tags --resources i-instanceid --tags Key=Test,Value=Testing --region us-east-1

, что выдает мне следующую ошибку

Произошла ошибка (UnauthorizedOperation) при вызове операции CreateTags: Вы не авторизованы для выполнения этой операции. Закодированное сообщение об ошибке авторизации

Answer 1

Проверьте, позволяет ли ваша роль создавать, перечислять, удалять теги в EC2 или если вам требуется пользовательская политика, прикрепленная к этой роли, чтобы разрешить эти действия.

В итоге вы должны иметь:

  {
  "Effect": "Allow",
  "Action": [
    "ec2:CreateTags",
    "ec2:DeleteTags"
  ]
  }

Answer 2

Вы можете использовать эти учетные данные, вызывая aws cli без каких-либо параметров, связанных с учетными данными, он попытается получить кредиты из профиля экземпляра. Ваша проблема не в том, что у вас нет учетных данных, а в том, что у вас нет разрешения на запуск операции CreateTags. Как говорится в сообщении об ошибке, это проблема авторизации, а не аутентификации. Вам необходимо изменить политику профиля экземпляра и включить возможность изменять теги экземпляра.

Подробнее здесь:

https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-iam-instance-profile.html