在亚马逊 EC2 服务器中上传 SSL 文件时的访问问题

Posted 2023-03-04

【中文标题】在亚马逊 EC2 服务器中上传 SSL 文件时的访问问题

【英文标题】：access issue in uploading SSL file in amazon EC2 server

【发布时间】：2013-11-07 18:08:52

【问题描述】：

我正在使用此命令上传 ssl 文件。

aws iam upload-server-certificate --server-certificate-name CertificateName --certificate-body file://public_key_certificate_file --private-key  file://privatekey.pem

我还在~/.aws/config 放置了一个配置文件 和价值观是

[default]

aws_access_key_id = with my own key 

aws_secret_access_key = with my own key

region = ********

但它给了我这个错误：

发生客户端错误 (AccessDenied)：用户：arn:aws:iam::419351825566:user/** 无权执行：iam:UploadServerCertificate on resource:arn:a ws:iam::419351825566:server-certificate/**.crt

我是否没有正确编写 AWS 凭证？还是我没有访问权限？我也不确定我写的区域是否正确..

【问题讨论】：

您的 IAM 用户是否真的有权访问 iam:UploadServerCertificate 操作？

不知道。 root 用户说我拥有所有权利

Region 应该类似于“us-west-2”。我也遇到了这个问题，请确保您为您的用户设置了允许 iam:UploadServerCertificate 的策略，并确保将用户的安全组分配给您的 EC2 实例

@anthonygore 你能多说一些关于 1) 设置特定策略以允许 iam:UploadServerCertificate 的内容吗？此外，您是否必须使用此安全组启动实例而不是稍后添加它？我正在从 AWS CLI 启动节点服务器，但看不到如何包含命令行参数以包含特定用户组

【参考方案1】：

自 2015 年 11 月起，拥有一个具有“IAMFullAccess”策略的 IAM 用户即可完成这项工作。您可以创建一个新用户来拥有该唯一策略，也可以使用现有用户并添加策略。

注意：上传 SSL 文件后，如果您想再次收紧权限/安全性，可以删除 IAMFullAccess 政策。

新用户工作流程：

在 AWS 的巨型服务菜单中，转到 IAM 在左侧边栏中，点击用户 点击蓝色的“创建新用户”按钮 输入用户名，例如“ssl-uploader”，并创建用户 记下 AWS 为您提供的密钥。您以后无法检索这些（您必须返回到第 1 步并创建一个不同的用户）。 将IAMFullAccess 策略分配给新用户 在命令行中，执行aws configure 并回答问题： AWS Access Key ID: - 来自第 5 步的访问密钥 AWS Secret Access Key: - 来自第 5 步的密钥 Default region name: - 对我来说没关系，接受默认值None Default output format: - 对我来说没关系，接受默认值None 运行问题中提到的命令，它应该可以工作。您可能需要记下它返回的 JSON，以备日后需要时使用。

【讨论】：

对我来说也一样。添加策略完全足够了。无需创建新用户。

@Steven 同意 - 更新了我的答案以澄清。谢谢