@shinyaz

EKS Pod Identity セッションポリシーの AccessDenied は原因が明示される

約1分
#aws#eks#iam#pod-identity

EKS Pod Identity のセッションポリシー機能を検証していて、エラーメッセージの親切さに驚いた。

IAM の AccessDenied エラーは原因特定が難しいことで有名だが、セッションポリシーが絡む場合は原因が明示される。

Output (セッションポリシーが原因)
s3:CreateBucket on resource: "arn:aws:s3:::xxx"
because no session policy allows the s3:CreateBucket action
Output (IAM ロール自体が原因)
ec2:DescribeInstances
because no identity-based policy allows the ec2:DescribeInstances action

no session policy allows ならセッションポリシーに該当アクションを追加すればよく、no identity-based policy allows なら IAM ロール側のポリシーを見直す必要がある。どちらを修正すべきか一目で分かるのは運用上かなり助かる。

共有する

田原 慎也

田原 慎也

ソリューションアーキテクト @ AWS

AWS ソリューションアーキテクトとして金融業界のお客様を中心に技術支援を行っています。クラウドアーキテクチャや AI/ML に関する学びをこのサイトで発信しています。このサイトの内容は個人の見解であり、所属企業の公式な意見や見解を代表するものではありません。

もっと見る