AWS CodeDeploy Agent 파일을 다운로드 할 수 없습니다.

Question

Amazon Linux에 AWS Codedeploy Agent 파일을 다운로드하려고합니다. 나는 http://docs.aws.amazon.com/codedeploy/latest/userguide/how-to-run-agent.html에 언급 된 지침에 따라 Amazon Linux에서 적절한 인스턴스 프로필, 서비스 역할 등을 만들었습니다. 모든 것이 최신 버전입니다 (Amazon Linux, CLI 패키지, 새로운 인스턴스이며 적어도 3 가지 이상의 새로운 동일한 결과를 가진 인스턴스). 모든 인스턴스에는 완전한 아웃 바운드 인터넷 액세스가 있습니다.

그러나 S3는 항상 실패에서 설치 다운로드 문,

aws s3 cp s3://aws-codedeploy-us-east-1/latest/install . --region us-east-1

오류와

, 다음 HeadObject 작업을 호출 할 때 (403)가 발생하는 클라이언트 오류 : 금지 1 개 부분 (들)를 완료 ... 남아있는 파일

누구든지이 오류를 도와 줄 수 있습니까?

Answer 1

나는 IAM 인스턴스

http://docs.aws.amazon.com/codedeploy/latest/userguide/how-to-create-iam-instance-profile.html

다음과 같은 권한 당신의 IAM 인스턴스 프로파일에 부여 할 필요가 프로파일에 대한 Codedeploy 문서에 따르면, 문제를 알아 냈어.

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Action": [ 
     "s3:Get*", 
     "s3:List*" 
     ], 
     "Effect": "Allow", 
     "Resource": "*" 
    } 
    ] 
} 

하지만 인스턴스가 다른 버킷에 직접 액세스하는 것을 원하지 않기 때문에 리소스를 코드 버킷으로 제한했습니다. 하지만 에이전트를 다운로드 할 수있는 aws-codedeploy-us-east-1/* s3 리소스에 대한 추가 권한을 부여해야합니다. 이것은 Codedeploy에 대한 IAM 인스턴스 프로파일 설정에 대한 문서에서 명확하지 않습니다. 작동

Answer 2

더 제한적인 정책 : CLI를 사용자 자격 증명이 필요한 권한이 부족한 경우

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": [ 
       "s3:Get*", 
       "s3:List*" 
      ], 
      "Resource": [ 
       "arn:aws:s3:::aws-codedeploy-us-east-1/*", 
       "arn:aws:s3:::aws-codedeploy-us-west-1/*", 
       "arn:aws:s3:::aws-codedeploy-us-west-2/*", 
       "arn:aws:s3:::aws-codedeploy-ap-south-1/*", 
       "arn:aws:s3:::aws-codedeploy-ap-northeast-2/*", 
       "arn:aws:s3:::aws-codedeploy-ap-southeast-1/*", 
       "arn:aws:s3:::aws-codedeploy-ap-southeast-2/*", 
       "arn:aws:s3:::aws-codedeploy-ap-northeast-1/*", 
       "arn:aws:s3:::aws-codedeploy-eu-central-1/*", 
       "arn:aws:s3:::aws-codedeploy-eu-west-1/*", 
       "arn:aws:s3:::aws-codedeploy-sa-east-1/*" 
      ] 
     } 
    ] 
}