解决AmazonEKSNodeRole创建ALB相关策略 AccessDenied问题

已于 2024-05-03 23:05:49 修改
阅读量345 收藏 1
点赞数 4
分类专栏: Amazon EKS 亚马逊云 云深海阔专栏 文章标签: 亚马逊 EKS
于 2024-05-03 22:36:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_38432732/article/details/138426569
版权
文章描述了一个关于AmazonEKS部署失败的问题,由于IAM角色权限不足,用户无法对弹性负载均衡器执行添加标签的操作。解决方法是创建一个新的IAM角色,并移除与elbv2.k8s.aws/cluster相关的条件,确保角色具有必要的资源操作权限,如创建、修改和管理ELB相关资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题

Failed deploy model due to AccessDenied: User: arn:aws:sts::XXXXXXX:assumed-role/AmazonEKSNodeRole/i-05dde0c62e7539e0a is not authorized to perform: elasticloadbalancing:AddTags on resource: arn:aws:elasticloadbalancing:ap-east-1:369180331248:targetgroup/k8s-default-nginx-c1368b7102/* because no identity-based policy allows the elasticloadbalancing:AddTags action status code: 403, request id: c34c7eb0-8d66-4f91-ac73-697d709b8e0c

解决办法
重新创建IAM角色
v2.7.2_iam_policy

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"iam:CreateServiceLinkedRole"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": "elasticloadbalancing.amazonaws.com"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeAccountAttributes",
				"ec2:DescribeAddresses",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeVpcs",
				"ec2:DescribeVpcPeeringConnections",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeInstances",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeTags",
				"ec2:GetCoipPoolUsage",
				"ec2:DescribeCoipPools",
				"elasticloadbalancing:DescribeLoadBalancers",
				"elasticloadbalancing:DescribeLoadBalancerAttributes",
				"elasticloadbalancing:DescribeListeners",
				"elasticloadbalancing:DescribeListenerCertificates",
				"elasticloadbalancing:DescribeSSLPolicies",
				"elasticloadbalancing:DescribeRules",
				"elasticloadbalancing:DescribeTargetGroups",
				"elasticloadbalancing:DescribeTargetGroupAttributes",
				"elasticloadbalancing:DescribeTargetHealth",
				"elasticloadbalancing:DescribeTags",
				"elasticloadbalancing:DescribeTrustStores"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cognito-idp:DescribeUserPoolClient",
				"acm:ListCertificates",
				"acm:DescribeCertificate",
				"iam:ListServerCertificates",
				"iam:GetServerCertificate",
				"waf-regional:GetWebACL",
				"waf-regional:GetWebACLForResource",
				"waf-regional:AssociateWebACL",
				"waf-regional:DisassociateWebACL",
				"wafv2:GetWebACL",
				"wafv2:GetWebACLForResource",
				"wafv2:AssociateWebACL",
				"wafv2:DisassociateWebACL",
				"shield:GetSubscriptionState",
				"shield:DescribeProtection",
				"shield:CreateProtection",
				"shield:DeleteProtection"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupIngress",
				"ec2:RevokeSecurityGroupIngress"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateSecurityGroup"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:security-group/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateSecurityGroup"
				},
				"Null": {
					"aws:RequestTag/elbv2.k8s.aws/cluster": "false"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags",
				"ec2:DeleteTags"
			],
			"Resource": "arn:aws:ec2:*:*:security-group/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/elbv2.k8s.aws/cluster": "true",
					"aws:ResourceTag/elbv2.k8s.aws/cluster": "false"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupIngress",
				"ec2:RevokeSecurityGroupIngress",
				"ec2:DeleteSecurityGroup"
			],
			"Resource": "*",
			"Condition": {
				"Null": {
					"aws:ResourceTag/elbv2.k8s.aws/cluster": "false"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"elasticloadbalancing:CreateLoadBalancer",
				"elasticloadbalancing:CreateTargetGroup"
			],
			"Resource": "*",
			"Condition": {
				"Null": {
					"aws:RequestTag/elbv2.k8s.aws/cluster": "false"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"elasticloadbalancing:CreateListener",
				"elasticloadbalancing:DeleteListener",
				"elasticloadbalancing:CreateRule",
				"elasticloadbalancing:DeleteRule"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"elasticloadbalancing:AddTags",
				"elasticloadbalancing:RemoveTags"
			],
			"Resource": [
				"arn:aws:elasticloadbalancing:*:*:targetgroup/*/*",
				"arn:aws:elasticloadbalancing:*:*:loadbalancer/net/*/*",
				"arn:aws:elasticloadbalancing:*:*:loadbalancer/app/*/*"
			],
			"Condition": {
				"Null": {
					"aws:ResourceTag/elbv2.k8s.aws/cluster": "false"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"elasticloadbalancing:AddTags",
				"elasticloadbalancing:RemoveTags"
			],
			"Resource": [
				"arn:aws:elasticloadbalancing:*:*:listener/net/*/*/*",
				"arn:aws:elasticloadbalancing:*:*:listener/app/*/*/*",
				"arn:aws:elasticloadbalancing:*:*:listener-rule/net/*/*/*",
				"arn:aws:elasticloadbalancing:*:*:listener-rule/app/*/*/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"elasticloadbalancing:ModifyLoadBalancerAttributes",
				"elasticloadbalancing:SetIpAddressType",
				"elasticloadbalancing:SetSecurityGroups",
				"elasticloadbalancing:SetSubnets",
				"elasticloadbalancing:DeleteLoadBalancer",
				"elasticloadbalancing:ModifyTargetGroup",
				"elasticloadbalancing:ModifyTargetGroupAttributes",
				"elasticloadbalancing:DeleteTargetGroup"
			],
			"Resource": "*",
			"Condition": {
				"Null": {
					"aws:ResourceTag/elbv2.k8s.aws/cluster": "false"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"elasticloadbalancing:AddTags"
			],
			"Resource": [
				"arn:aws:elasticloadbalancing:*:*:targetgroup/*/*",
				"arn:aws:elasticloadbalancing:*:*:loadbalancer/net/*/*",
				"arn:aws:elasticloadbalancing:*:*:loadbalancer/app/*/*"
			],
			"Condition": {
				"StringEquals": {
					"elasticloadbalancing:CreateAction": [
						"CreateTargetGroup",
						"CreateLoadBalancer"
					]
				},
				"Null": {
					"aws:RequestTag/elbv2.k8s.aws/cluster": "false"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"elasticloadbalancing:RegisterTargets",
				"elasticloadbalancing:DeregisterTargets"
			],
			"Resource": "arn:aws:elasticloadbalancing:*:*:targetgroup/*/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"elasticloadbalancing:SetWebAcl",
				"elasticloadbalancing:ModifyListener",
				"elasticloadbalancing:AddListenerCertificates",
				"elasticloadbalancing:RemoveListenerCertificates",
				"elasticloadbalancing:ModifyRule"
			],
			"Resource": "*"
		}
	]
}

将文件中的以下部分"aws:RequestTag/elbv2.k8s.aws/cluster": "true",删除即可

            "Condition": {
                "Null": {
                    -"aws:RequestTag/elbv2.k8s.aws/cluster": "true",
                    "aws:ResourceTag/elbv2.k8s.aws/cluster": "false"
                }
            }

重新创建,创建好了后替换原来加入eksnode的角色中

AWS-负载均衡-创建一个对外的HTTPS ALB
墨痕诉清风的博客
07-25 1956
Elastic Load Balancing 支持三种类型的负载均衡器:Application Load Balancer、Network Load Balancer 和 Classic Load Balancer。这里用ALB( Application Load Balancer)说明。
denied: requested access to the resource is denied报错解决
bk_陈龙伟
03-10 3407
denied: requested access to the resource is denied报错解决
AWS EKS部署ALB
weixin_41335923的博客
12-02 1352
目录一、前置条件二、创建IAM OIDC提供商三、安装`AWS Load Balancer Controller`四、应用中部署ALB参考 一、前置条件 在AWS EKS中service默认的LoadBalance模式是CLB。 如果需要使用ALB或NLB则需要安装AWS Load Balancer Controller 安装AWS负载均衡器控制器前需要为集群创建IAM OIDC提供商 二、创建IAM OIDC提供商 确定集群是否拥有现有 IAM OIDC 提供商。 查看集群的 OIDC 提供商 U
对接亚马逊(amazon)demo
码瘾的空间
08-09 3627
clone下来直接运行: https://github.com/GoldWater16/amazon-demo
使用git 客户端链接远程AWS仓库时报错:Codecommit:fatal: unable to access“XXXX”, The requested URL returned error: 40
Nicolege678的博客
06-14 1243
1、当我使用git 客户端链接亚马逊云代码仓库时报错:Codecommit:fatal: unable to access 'https://git-codecommit.us-west-2.amazonaws.com/v1/repos/gl-code-warehouse/': The requested URL returned error: 403。截图如下:1、执行以下命令进行鉴权配置: 执行截图如下: 命令运行后,会在 .gitconfig 配置文件中增加如下配置。2、接下来就可以正常连接到云仓
AWS ELB-ALB创建
SINGWIN01的博客
12-24 620
创建目标组创建完成就可以返回ALB添加进去,进行创建ELB。在左侧导航栏找到负载均衡,创建负载均衡器。在AWS控制台的搜索框搜索EC2。在创建页面选择应用负载均衡ALB创建好之后把目标组附加负载均衡。配置好之后创建负载均衡器。
terraform-aws-alb:用于创建AWS ApplicationNetwork负载均衡器(ALBNLB)和相关资源的Terraform模块
01-30
在本文中,我们将深入探讨如何使用Terraform和AWS服务创建Application Load Balancer(ALB)和相关的网络资源。Terraform是一种强大的基础设施即代码工具,它允许我们以声明式的方式定义、部署和管理云环境中的资源...
terraform-aws-alb-web-containers:创建用于服务Web应用程序的ALB
04-20
创建用于服务HTTPS Web应用程序的ALB创建以下资源: 具有HTTP(重定向)和HTTPS侦听器的ALB。 HTTPS侦听器的目标组。 ALB的安全组。 HTTP侦听器重定向到HTTPS。 HTTPS侦听器使用存储在ACM或IAM中的证书。 ...
EKS创建alb控制器并验证
07-13
EKS创建alb控制器并验证
AWS创建ALB过程中遇到的问题总结
ITress_Tina的博客
09-11 6582
背景介绍 使用AWS中国区账号创建ALB,准备了两个运行在不同可用区的EC2实例,EC2运行的是linux操作系统。在EC2实例的安全组设置中,开放了HTTP 80端口。 问题一: 使用http://ip/访问,无法对实例的web服务进行访问。 原因一: 实例未安装httpd服务 解决方法: 使用yum安装httpd服务,执行以下命令: #yum install httpd 安...
k8s与aws--在ec2中部署高可用k8s1.13.1集群(ipvs,cloud-provider)
weixin_34357887的博客
12-19 1009
前言 kubeadm1.13达到了生产可用,利用kubeadm部署一个高可用集群简单不少。但是竟然部署在aws上,就要启用cloud-provider=aws,深度结合iaas层资源。主要是利用aws的elb和ebs等。相关的资料还是比较少的,已经有的一些文档要不是out了,要不就是内容不全,还有很多文章只是弄了一个demo的水平,完全没...
Camstar权限错误is not authorized to perform the service
江川的博客
07-10 1524
ERROR! The user "XXX" is not authorized to perform the service "XXXXX" 更新MDB混乱可能导致数据库内的CDOID错乱,就会造成明明配了权限却报权限错误。此时勾上CleanUp Orphaned Permissions后再重新更新下MDB,再去重新配相关权限即可。 重新配置的时候,可能会发现找不到服务,就全选Remov...
3 Android SqliteManager 源码.zip
最新发布
04-29
3 Android SqliteManager 源码.zip
基于S7-200 PLC的煤矿排水系统智能控制:三台水泵联动与备援策略
04-29
内容概要:本文详细介绍了基于S7-200 PLC的煤矿排水系统智能控制方案,重点讨论了三台水泵(两台工作水泵和一台备用水泵)的联动与备援策略。系统通过超声波液位传感器实时监测水位,根据不同水位情况自动控制水泵的启停。具体而言,水位低时不启动水泵,水位介于中水位和高水位之间时启动1号水泵,水位超过高水位则启动1号和2号水泵共同工作。若1号或2号水泵出现故障,系统会自动启用3号备用水泵。此外,MCGS6.2组态画面用于实时监控水位和水泵状态,帮助操作员及时应对异常情况,确保矿井安全。 适合人群:从事煤矿自动化控制领域的技术人员、矿业工程管理人员及相关研究人员。 使用场景及目标:适用于需要提高煤矿排水系统自动化水平的场合,旨在提升矿井排水效率和安全性,减少人工干预,确保矿井生产安全。 其他说明:文中提到的技术方案不仅提高了排水系统的可靠性,还为未来的智能化矿山建设提供了有益借鉴。
scratch少儿编程逻辑思维游戏源码-灌篮之王.zip
04-29
scratch少儿编程逻辑思维游戏源码-灌篮之王.zip
scratch少儿编程逻辑思维游戏源码-飞翔马里奥(2).zip
04-29
scratch少儿编程逻辑思维游戏源码-飞翔马里奥(2).zip
scratch少儿编程逻辑思维游戏源码-火柴人大战 中世纪战争.zip
04-29
scratch少儿编程逻辑思维游戏源码-火柴人大战 中世纪战争.zip
scratch少儿编程逻辑思维游戏源码-几何冲刺(2).zip
04-29
scratch少儿编程逻辑思维游戏源码-几何冲刺(2).zip
南京证券-低轨卫星互联网启动,天地一体通信迈向6G.pdf
04-29
南京证券-低轨卫星互联网启动,天地一体通信迈向6G
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yunson_Liu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值