2. 질의 응답
  3. AWS EC2는 볼륨을 만들어 다음 명령을 실행 해요 볼륨

AWS EC2는 볼륨을 만들어 다음 명령을 실행 해요 볼륨

2017-05-09 1 views
0

을 생성하지 :AWS EC2는 볼륨을 만들어 다음 명령을 실행 해요 볼륨

aws ec2 create-volume --region eu-west-1 --availability-zone eu-west-1a --snapshot-id snap-02583b4b1fb1d2d84

을 그리고 응답을 얻을 : 그러나

{ 
    "SnapshotId": "snap-02583b4b1fb1d2d84", 
    "Size": 40, 
    "VolumeType": "standard", 
    "Encrypted": true, 
    "State": "creating", 
    "VolumeId": "vol-0d7bec77ac1164266", 
    "CreateTime": "2017-05-09T10:17:03.521Z", 
    "AvailabilityZone": "eu-west-1a" 
}

, 후속 명령을; 같은 :

aws ec2 wait volume-available --volume-ids vol-0d7bec77ac1164266

결과 :

Waiter VolumeAvailable failed: The volume 'vol-0d7bec77ac1164266' does not exist.

나는 웹 UI 볼륨 대시 보드에 보면; 볼륨을 볼 수 없습니다. 나는 모든 지역을 조사했다.

누구든지 이전에이 동작을 본 적이 있습니까?

UPDATE는

명령은 내가 * 자원 * 권한으로 다른 IAM 사용자를 사용하여 다른 컴퓨터에서 실행하면 예상대로 작동 것으로 보인다.

UPDATE 2

이 볼륨이 암호화되어 권한이 암호화 된 볼륨을 보상되지 않을 것으로 보인다.

출처

2017-05-09 Karim Tabet

+0

다른 컴퓨터가 아닌 다른 컴퓨터에서 작동하는 경우 최신 버전의 CLI가 설치되어 있는지 확인하십시오. 리눅스를 사용한다면'pip install awscli --upgrade'을 실행하십시오. –

+0

그래. 사용 권한 문제로 판명되었습니다. 아래 내 대답을 참조하십시오. CLI에 사소한 버그가 있다고 생각하여 성공적인 작성을보고하는 것과는 대조적으로 권한 부족을보고해야합니다. –

+0

그런 경우 왜 다른 컴퓨터에서 작동합니까? IAM의 자격 증명이 다른가요? –

답변

0

확인. 나는 그것을 작동시켰다. 하지만 여전히 CLI에 문제가 있다고 생각합니다.

생성되는 볼륨이 암호화됩니다. 따라서 암호화 된 볼륨을 처리하려면 사용 권한이 필요합니다. 나는 일에 그것을 얻을 수

있는 유일한 방법은 다음과 같은 권한을 추가했다 : 암호화 된 볼륨에서 명령을 실행할 때

"kms:CreateGrant", 
"kms:ListGrants", 
"kms:RevokeGrant", 
"kms:Encrypt", 
"kms:Decrypt", 
"kms:ReEncrypt*", 
"kms:GenerateDataKey*", 
"kms:DescribeKey", 
"ec2:AttachVolume", 
"ec2:DescribeVolume*", 
"ec2:Describe*", 
"ec2:CreateVolume", 
"ec2:DescribeSnapshots", 
"ec2:AttachVolume"

이 도구는 어떤 권한 오류를보고하지 않습니다. 내가 문제를 제기 한

는 : https://github.com/aws/aws-cli/issues/2592

출처

2017-05-09 14:37:49

0

나는 당신의 문제를 재현 할 수 없습니다.

나는 한 다음 단계 :

만든 인라인 정책으로 이러한 권한이있는 IAM 사용자 (해당 사용자로)

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Statement1", 
      "Effect": "Allow", 
      "Action": [ 
       "ec2:CreateVolume" 
      ], 
      "Resource": [ 
       "*" 
      ] 
     } 
    ] 
}

스냅 샷에서 볼륨을 만든 :

aws ec2 create-volume --region ap-southeast-2 --availability-zone ap-southeast-2a --snapshot-id snap-abcd1234 --profile xyz 

{ 
    "AvailabilityZone": "ap-southeast-2a", 
    "Encrypted": false, 
    "VolumeType": "standard", 
    "VolumeId": "vol-03e2eee8e64f593d3", 
    "State": "creating", 
    "SnapshotId": "snap-abcd1234", 
    "CreateTime": "2017-05-11T05:17:23.960Z", 
    "Size": 30 
}

볼륨이 성공적으로 만들어졌습니다. 오류없이 즉시 완료

aws ec2 wait volume-available --volume-ids vol-03e2eee8e64f593d3 --region ap-southeast-2 --profile normal

명령 :

는 사용자가 VolumeAvailable를 호출 할 수있는 권한을 가지고 있지 않는, 그래서 다른 사용자를 사용했다.

출처

2017-05-11 05:23:51

+0

사용자에게 부여 된 사용 권한은 무엇입니까? –

+0

내 대답의 시작 부분에 사용 권한이 표시됩니다. 그들은 단지'*'에'ec2 : CreateVolume'을 가지고있었습니다. 'VolumeAvailable'을 호출 한 사용자에 대해 묻는다면 관리자 권한을가집니다. 요점은'CreateVolume' 만 EBS 볼륨을 생성하는 데 필요하다는 것입니다. 어쩌면 잘못된 영역에 대해 '볼륨 사용 가능'을 실행했을 수 있습니까? –

+0

Nope. 내가 말했듯이. 나는 모든 지역을 조사했다. 웹 UI에서도. 그것은 확실히 그것을 만들지 않았다. 하지만 권한을 부여하면 효과가있었습니다. –

1

암호화 된 스냅 샷에서 볼륨을 만들려고 시도하는 것과 동일한 문제가있었습니다. 볼륨 생성 명령이 성공적으로 완료된 것처럼 보입니다.

{ 
    "AvailabilityZone": "eu-west-1a", 
    "Encrypted": true, 
    "VolumeType": "gp2", 
    "VolumeId": "vol-xxxxx", 
    "State": "creating", 
    "Iops": 100, 
    "SnapshotId": "snap-xxxxx", 
    "CreateTime": "2017-07-14T21:03:24.430Z", 
    "Size": 10 
}

그러나 볼륨이 생성 된 것처럼 보이지 않으며 볼륨을 설명하려고 시도 할 수 없습니다.

스냅 샷이 생성 된 KMS 키가 삭제 대기 중이었습니다. KMS 삭제를 취소하고 키를 다시 활성화하면 볼륨이 성공적으로 만들어졌습니다.

출처

2017-07-14 21:15:38

관련 문제

 관련 문제