我们的应用程序提交AWS Route 53logging集更改,以便我们可以以编程方式创build新的子域。 到目前为止,所有事情都在美国西部(俄勒冈州)地区举行,工作正常。 我们最近在AWS新加坡地区创build了一个新的集群,但不幸的是,当我们尝试从这个新加坡集群创build新的Route 53logging集时,我们正在收到拒绝访问的信息。 代码是一样的,唯一的区别是我们现在在新加坡而不是俄勒冈州。
User: arn:aws:iam::1234512345:user/some_user_name is not authorized to access this resource (Service: AmazonRoute53; Status Code: 403; Error Code: AccessDenied... 在AWS IAM控制台中查看其帐户时,关联的IAM用户具有完全权限(我们仍在DEV中)。 如果我回想一下类似这样的事情:
"Statement":[{"Effect":"Allow","Action":"*","Resource":"*"}]
对地区用户是否有更高级别的限制? 我是否需要创build一个新加坡用户,以便帐户可以处理我们的Route 53请求? 用户资源标识符是否缺less区域这一事实表明某事(arn:aws:iam:?????:1234512345:user / some_user_name)?
原来,我的新的新加坡负载平衡器上没有相应的安全组,与新的Route53logging有关。 我将一个通用的“AWS-LB”安全组与负载平衡器(而不是默认select的VPC安全组)关联起来,并且不再发生错误。