amazon-web-services - サービスロール - サービスにリンクされたロール




AWS create role-禁止されているフィールド (2)

CreateRole操作を呼び出すときにエラーが発生しました(MalformedPolicyDocument):完全なパス名を使用しないと、このポリシーに無効なJsonが表示されます 。 たとえば、

--assume-role-policy-document myfile.json

またはnonexistent.file.jsonさえも問題を引き起こします。

解決策は使用することです

--assume-role-policy-document file://myfile.json

ここに私のキネシスFirehose配信ストリームのコンテンツです

{
 "Version": "2012-10-17",
 "Statement": {
   "Effect": "Allow",
   "Principal": {"Service": "firehose.amazonaws.com"},
   "Action": "sts:AssumeRole"
  }
} 

私は、ポリシーjsonファイルhttp://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.htmlを使用してロールを作成するAWSドキュメントによって提案された簡単な例を試しています。

A client error (MalformedPolicyDocument) occurred when calling the CreateRole operation: Has prohibited field Resource

コマンドは次のとおりです。

>> aws iam create-role --role-name test-service-role --assume-role-policy-document file:///home/ec2-user/policy.json
A client error (MalformedPolicyDocument) occurred when calling the CreateRole operation: Has prohibited field Resource

このポリシーは、例で説明したポリシーとまったく同じです

>> cat policy.json 
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::example_bucket"
  }
}

私のバージョンは最新のようです

>> aws --version
aws-cli/1.9.9 Python/2.7.10 Linux/4.1.10-17.31.amzn1.x86_64 botocore/1.3.9

ポリシー文書は次のようなものでなければなりません:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {"Service": "ec2.amazonaws.com"},
    "Action": "sts:AssumeRole"
  }
}


これは、信頼関係ポリシー文書と呼ばれます。 これはポリシー文書とは異なります。 あなたが貼り付けたものは、ロールポリシーを添付して実行されるロールに添付されたポリシーのものです。
あなたが貼り付けたリンクには、上記の役割文書もあります。 これはうまくいくはずです。 私は役割と政策に取り組んできました。
awsコンソールでも、ロールのために、信頼関係のための別のタブがあることがわかります。 また、現在、[アクセス許可]タブにポリシーを添付しています。