Задача Fargate AWSSecurityTokenService Доступ запрещен

Question

Я пытаюсь запустить Prometheus CloudWatch Exporter в качестве задачи Fargate.Я создаю пользовательское изображение с запрограммированным файлом конфигурации, основанным на prom/cloudwatch-exporter изображении.

Когда контейнер появляется, я вижу следующую ошибку в журналах:

com.amazonaws.services.securitytoken.model.AWSSecurityTokenServiceException: доступ запрещен (служба: AWSSecurityTokenService; код состояния: 403; код ошибки: AccessDenied; идентификатор запроса: REQUEST-ID)

вызов, который производит этоошибка выглядит следующим образом:

в com.amazonaws.services.cloudwatch.AmazonCloudWatchClient.listMetrics (AmazonCloudWatchClient.java:684)

Роль выполнения задачи иРоль задачи имеет следующую политику:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        }
    ]
}

Вот определение контейнера:

{
      "dnsSearchDomains": null,
      "logConfiguration": {
        "logDriver": "awslogs",
        "options": {
          "awslogs-group": "LOG-GROUP",
          "awslogs-region": "REGION",
          "awslogs-stream-prefix": "LOG-PREFIX"
        }
      },
      "entryPoint": null,
      "portMappings": [
        {
          "hostPort": 9106,
          "protocol": "tcp",
          "containerPort": 9106
        }
      ],
      "command": null,
      "linuxParameters": null,
      "cpu": 0,
      "environment": [],
      "resourceRequirements": null,
      "ulimits": null,
      "dnsServers": null,
      "mountPoints": [],
      "workingDirectory": null,
      "secrets": null,
      "dockerSecurityOptions": null,
      "memory": null,
      "memoryReservation": null,
      "volumesFrom": [],
      "image": "ACCOUNTID.dkr.ecr.REGION.amazonaws.com/mycustomimage:latest",
      "disableNetworking": null,
      "interactive": null,
      "healthCheck": null,
      "essential": true,
      "links": null,
      "hostname": null,
      "extraHosts": null,
      "pseudoTerminal": null,
      "user": null,
      "readonlyRootFilesystem": null,
      "dockerLabels": null,
      "systemControls": null,
      "privileged": null,
      "name": "container-name"
    }

Почему контейнер не проходит проверку подлинности на основе политик IAM?Все остальные политики в настройках работают должным образом.Кластер может извлечь пользовательский образ из репозитория ECR, записи логов и т. Д.

Answer 1

Я понял это. CloudWatch Exporter позволяет передавать роль IAM arn через атрибут config role_arn. Если это значение установлено, то приложение использует STSAssumeRoleSessionCredentialsProvider для установки учетных данных. Это явно не поддерживается в Fargate (этот метод работает в контейнерах ECS на основе EC2). Если вы отключите role_arn, то приложение создаст нового клиента с настройками по умолчанию, который использует класс DefaultAWSCredentialsProviderChain, и это работает как чудо.