在 AWSAppRunnerFullAccess 权限中缺少(资源)权限会导致调用 CreateVpcConnector 操作失败。
【以下的问题经过翻译处理】 这不是一个问题,更像是一个“错误报告”。解决方案已在此帖子中提供。
arn:aws:iam::aws:policy/AWSAppRunnerFullAccess 缺少创建 AWSServiceRoleForAppRunnerNetworking 服务角色的权限。
这使得即使使用 FullAccess 策略,也无法创建 vpc 连接器。错误消息并没有真正帮助,因为它所指出的策略实际上已经附加了。
复现步骤:
- 使用拥有
AWSAppRunnerFullAccess权限的用户或扮演角色。 - 运行
aws apprunner create-vpc-connector --vpc-connector-name test-vpc-connector --subnets <subnets> --security-groups <security-groups>
该命令会产生以下错误: "An error occurred (InvalidRequestException) when calling the CreateVpcConnector operation: AccessDenied. Couldn't create a service-linked role for App Runner. When creating the first vpc connector in the account, caller must have the 'iam:CreateServiceLinkedRole' permission. Use the 'AWSAppRunnerFullAccess' managed user policy to ensure users have all required permissions."
临时解决方案:在资源 arn:aws:iam::*:role/aws-service-role/apprunner.amazonaws.com/AWSServiceRoleForAppRunner 上添加 Allow iam:CreateServiceLinkedRole 的额外策略。
长期来看,我相信应该将其添加到 AWSAppRunnerFullAccess 中。
- Neueste
- Die meisten Stimmen
- Die meisten Kommentare
【以下的回答经过翻译处理】 临时解决方案:在资源arn:aws:iam::*:role/aws-service-role/apprunner.amazonaws.com/AWSServiceRoleForAppRunner上新增一个Allow iam:CreateServiceLinkedRole的策略。
长期解决方案 - 由AWS修复 :)。