创建 CloudFront 分配时出现神秘的 CloudFormation 失败
Posted
技术标签:
【中文标题】创建 CloudFront 分配时出现神秘的 CloudFormation 失败【英文标题】:Cryptic CloudFormation failure when creating CloudFront Distribution 【发布时间】:2021-10-02 22:38:17 【问题描述】:我设置了一个 CloudFormation 模板来跟踪 CloudFront 分配等。进行此设置后,我创建了一个 AWS::CertificateManager::Certificate 和一个 AWS::CloudFront::Distribution 资源,其中 CDN 仅从非网站 S3 源提供服务。
当我运行变更集时,我得到了这个非常模糊的失败。 “拒绝访问操作‘AWS::CloudFront::Distribution’。”有点失去我在这里。一方面,我不清楚这应该是什么操作。最重要的是,这之后的堆栈回滚是不完整的。 CloudFormation 事件甚至没有显示删除 CDN 或证书的尝试,当我尝试从浏览器中点击 CloudFront URL 时,它可以完美运行,所以我什至不确定我的模板在这里试图做什么失败的。事实上,这对我来说是个问题的唯一原因是不完整的回滚试图将堆栈中的 lambda 恢复到 nodejs8.10,这会导致更大的失败。如果这不是问题,我不知道我会感受到这个模糊错误的影响。
模板,基于几年前的静态网站示例:
AWSTemplateFormatVersion: 2010-09-09
Transform:
- AWS::Serverless-2016-10-31
- AWS::CodeStar
Parameters:
ProjectId:
Type: String
Description: AWS CodeStar projectID used to associate new resources to team members
CodeDeployRole:
Type: String
Description: IAM role to allow AWS CodeDeploy to manage deployment of AWS Lambda functions
Stage:
Type: String
Description: The name for a project pipeline stage, such as Staging or Prod, for which resources are provisioned and deployed.
Default: ''
Globals:
Api:
BinaryMediaTypes:
- image~1png
Function:
Runtime: nodejs14.x
AutoPublishAlias: live
DeploymentPreference:
Enabled: true
Type: Canary10Percent5Minutes
Role: !Ref CodeDeployRole
Resources:
MahCert:
Type: AWS::CertificateManager::Certificate
Properties:
DomainName: domain.com
DomainValidationOptions:
- DomainName: domain.com
HostedZoneId: Z2GZX5ZQI1HO5L
SubjectAlternativeNames:
- '*.domain.com'
CertificateTransparencyLoggingPreference: ENABLED
ValidationMethod: DNS
CloudFrontCDN:
Type: AWS::CloudFront::Distribution
Properties:
DistributionConfig:
Comment: Source for all static resources
PriceClass: PriceClass_100
Aliases:
- domain.com
ViewerCertificate:
AcmCertificateArn: !Ref MahCert
MinimumProtocolVersion: TLSv1.2_2021
SslSupportMethod: sni-only
DefaultRootObject: index.html
DefaultCacheBehavior:
ViewerProtocolPolicy: redirect-to-https
CachePolicyId: b2884449-e4de-46a7-ac36-70bc7f1ddd6d
TargetOriginId: SiteBucket
Enabled: True
Origins:
- DomainName: <my_bucket>.s3.amazonaws.com
Id: SiteBucket
S3OriginConfig:
OriginAccessIdentity: ''
ServerlessRestApi:
Type: AWS::Serverless::Api
Properties:
StageName: Prod
DefinitionBody:
swagger: 2.0
info:
title: Static resource proxy
paths:
/static/proxy+:
get:
x-amazon-apigateway-integration:
httpMethod: ANY
type: http_proxy
uri: <my_bucket>.s3.amazonaws.com/static/proxy
responses:
GetHelloWorld:
Type: AWS::Serverless::Function
Properties:
Handler: index.get
Role:
Fn::GetAtt:
- LambdaExecutionRole
- Arn
Events:
GetEvent:
Type: Api
Properties:
Path: /
Method: get
ProxyEvent:
Type: Api
Properties:
Path: /proxy+
Method: any
GetStaticContent:
Type: AWS::Serverless::Function
Properties:
Handler: index.getResource
Role:
Fn::GetAtt:
- LambdaExecutionRole
- Arn
Events:
GetResourceEvent:
Type: Api
Properties:
Path: /static/folder/file
Method: get
GetQuote:
Type: AWS::Serverless::Function
Properties:
Handler: index.getQuote
Role:
Fn::GetAtt:
- LambdaDynamoDBReadRole
- Arn
Events:
GetRandomQuoteEvent:
Type: Api
Properties:
Path: /getquote
Method: get
GetQuoteEvent:
Type: Api
Properties:
Path: /getquote/id
Method: get
LambdaExecutionRole:
Description: Creating service role in IAM for AWS Lambda
Type: AWS::IAM::Role
Properties:
RoleName: !Sub 'CodeStar-$ProjectId-Execution$Stage'
AssumeRolePolicyDocument:
Statement:
- Effect: Allow
Principal:
Service: [lambda.amazonaws.com]
Action: sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub 'arn:$AWS::Partition:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole'
PermissionsBoundary: !Sub 'arn:$AWS::Partition:iam::$AWS::AccountId:policy/CodeStar_$ProjectId_PermissionsBoundary'
LambdaDynamoDBReadRole:
Description: Creating service role in IAM for AWS Lambda
Type: AWS::IAM::Role
Properties:
RoleName: !Sub '$ProjectId-DynamoDB-Read'
AssumeRolePolicyDocument:
Statement:
- Effect: Allow
Principal:
Service: [lambda.amazonaws.com]
Action: sts:AssumeRole
Path: /
Policies:
-
PolicyName: "dynamodb-read-quotes"
PolicyDocument:
Version: "2012-10-17"
Statement:
-
Effect: "Allow"
Action:
- "dynamodb:GetItem"
- "dynamodb:DescribeTable"
Resource: "<dynamo_arn>"
ManagedPolicyArns:
- !Sub 'arn:$AWS::Partition:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole'
注意 - domain.com 不是我在这里使用的实际域。
更新:
我完全删除了堆栈并从这个模板重新创建它,认为堆栈的历史有问题。但是,我遇到了同样的错误。
堆栈使用的 IAM 角色具有这些权限
确实,即使授予此角色对 CloudFront 资源的完全写入权限,问题仍然存在。
【问题讨论】:
你的 CFN 模板是什么? @Marcin - 我已经添加了它。这是一个无服务器模板,而不是纯粹的 cfn。 我的第一个猜测是 cloudformation 使用的权限不足以进行云端操作。这要么是使用 cloudformation 运行此堆栈的用户/服务的权限,要么是在 cloudformation 堆栈上配置的角色。但是这里没有足够的信息来确定这一点。 @stijndepestel 我遇到了 CloudFormation 的 IAM 用户,在此设置中对 CloudFront、ACM 和 Route53 的各种事物没有适当的权限。每当发生这种情况时,CloudFormation 都会告诉我缺少的特定权限,我会去添加它。但是在这种情况下没有这样的描述,所以我有理由怀疑这是因为 IAM 政策不足。 让我们continue this discussion in chat. 【参考方案1】:基于聊天讨论。
发现问题的原因是用于部署堆栈的 IAM 角色缺少 IAM 权限。具体来说,缺少的权限是:
cloudfront:GetDistribution - 授予获取网络分发信息的权限
将该权限添加到角色,解决了问题。
为了找到丢失的权限,使用了 CloudTrial 的事件历史记录。
【讨论】:
嘿@JSONBrody - 为什么不将赏金奖励给问题回答者@Marcin?您不会失去任何代表,因为在您发布赏金时,而不是在您将其奖励给用户时,代表会从您手中夺走。 @Hcaertnit 这在我发布赏金后不久就解决了,所以我被告知我必须等待一天左右才能授予它。以上是关于创建 CloudFront 分配时出现神秘的 CloudFormation 失败的主要内容,如果未能解决你的问题,请参考以下文章
加载 AWS CloudFront 文件时出现 403(禁止)
使用 SNI 通过 HTTPS 提供服务时出现 CloudFront 错误