如何在代码deploy for DownloadBundle stage中排除访问被拒绝故障

Question

附加的屏幕截图是错误。没有stderr消息可供我进行故障排除。我已经为S3设置了必要的EC2 IAM访问权限。那么，问题可能是什么呢？

[

[

​

我还添加了IAM的用户需求，所以我不确定哪里出了问题

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::codepipeline-ap-southeast-1-617020163322/*",
                "arn:aws:s3:::aws-codedeploy-us-east-2/*",
                "arn:aws:s3:::aws-codedeploy-us-east-1/*",
                "arn:aws:s3:::aws-codedeploy-us-west-1/*",
                "arn:aws:s3:::aws-codedeploy-us-west-2/*",
                "arn:aws:s3:::aws-codedeploy-ca-central-1/*",
                "arn:aws:s3:::aws-codedeploy-eu-west-1/*",
                "arn:aws:s3:::aws-codedeploy-eu-west-2/*",
                "arn:aws:s3:::aws-codedeploy-eu-west-3/*",
                "arn:aws:s3:::aws-codedeploy-eu-central-1/*",
                "arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
                "arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
                "arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
                "arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
                "arn:aws:s3:::aws-codedeploy-ap-south-1/*",
                "arn:aws:s3:::aws-codedeploy-sa-east-1/*"
            ]
        }
    ]
}

Answer 1

有相同的问题，并通过查找目标实例IAM角色(在实例描述选项卡下)和附加的S3访问策略解决。

Answer 2

与DownloadBundle生命周期事件关联的错误包括：

1. 存储桶与管道位于不同的区域(我可以从您的屏幕截图中看到不是)。
2. ，因为附加到您的EC2实例的IAM instance profile没有权限访问EC2 S3中的应用程序版本。

包所在的存储桶是"arn:aws:s3:::codepipeline-ap-southeast-1-617020163322“吗？这个文件夹是由CodePipeline创建的吗？

如果是，我的建议是使用与CodePipeline不同的存储桶来存储工件。特别是因为您需要一个bucket policy来授予您的实例下载应用程序修订版所需的权限。

Answer 3

我也有同样的问题，并且能够解决它。我忘了在我的EC2 Assume角色中添加KMS权限。我的S3工件存储桶使用KMS加密，因此由于CodePipeline使用KMS，它抛出了对S3存储桶的拒绝访问。不过，这个错误并不够友好，无法告诉用户真正的问题是什么。