如何将角色赋予角色--“arn:aws:sts：：913xxxx71:作假设角色”

Question

为了将我们的EKS集群日志发送到CloudWatch，我遵循以下说明：

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Container-Insights-setup-logs.html

由于它不起作用，我运行了建议命令，为其中一个流畅的吊舱跟踪日志：

kubectl logs fluentd-cloudwatch-fc7vx -n amazon-cloudwatch

我看到了这个错误：

error_class=Aws::CloudWatchLogs::Errors::AccessDeniedException error=“用户: arn:aws:sts::913xxxxx71:assumed-role/eksctl-prod-nodegroup-standard-wo-NodeInstanceRole-1ESBFXHSI966X/i-0937e3xxxx07ea6未被授权执行:日志:资源上的DescribeLogGroups: arn:aws:logs:us-west-2:913617820371:log-group::log-stream:”

我有一个具有正确权限的角色，但是如何将该角色授予arn:aws:sts::913xxxxx71:assumed-role/eksctl-prod-nodegroup-standard-wo-NodeInstanceRole-1ESBFXHSI966X/i-0937e3xxxx07ea6用户呢？

Answer 1

您需要执行步骤才能将CloudWatchAgentServerPolicy策略附加到群集工作者节点角色，这里记录了：https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Container-Insights-prerequisites.html。

Answer 2

要做到这一点，您需要承担这个角色。这可以通过几种不同的方式来完成：

1. 您可以设置一个AWS剖面并使用它作为一个不同的角色执行命令。
2. 您可以使用像渡渡县这样的工具

一个注意事项是，您所承担的角色必须具有信任关系设置，以便允许其他人承担此角色。在上面的链接(1)中有一个建立信任关系的例子。

--也就是说，您可能不应该为您的用例做任何这样的事情。

如果您的另一个角色处于需要更新以允许假设的状态，那么您只需使用所需的权限直接更新eksctl-prod-nodegroup-standard-wo-NodeInstanceRole-1ESBFXHSI966X角色将更加容易和安全。

理想情况下，您可以将角色与附加到其他角色的相同策略与所需权限关联起来。