growing hard days.

AWSエンコードされたエラーメッセージをデコードするコマンドのメモ

2022/05/01

Stdout: couldn’t create ENI: UnauthorizedOperation: You are not authorized to perform this operation. Encoded authorization failure message:

AWSで上記のようなエラーメッセージの後にエンコードされたメッセージを受け取りました。

エンコードメッセージをデコードして確認するコマンドです。

$ aws sts decode-authorization-message --encoded-message エンコードされたメッセージ

1 2	$ aws sts decode-authorization-message --encoded-message エンコードされたメッセージ

{
“DecodedMessage”: “{\”allowed\”:false,\”explicitDeny\”:false,\”matchedStatements\”:{\”items\”:[]},\”failures\”:{\”items\”:[]},\”context\”:{\”principal\”:{\”id\”:\”XXXXXXXXXXXXX:i-03a914fb7f8193c2c\”,\”arn\”:\”arn:aws:sts::123456789012:assumed-role/EC2InstanceProfileForImageBuilder/i-03a914fb7f8193c2c\”},\”action\”:\”ec2:CreateNetworkInterface\”,\”resource\”:\”arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0bd7cd46\”,\”conditions\”:{\”items\”:[{\”key\”:\”ec2:Vpc\”,\”values\”:{\”items\”:[{\”value\”:\”arn:aws:ec2:us-east-1:123456789012:vpc/vpc-eddbbc90\”}]}},{\”key\”:\”123456789012:Name\”,\”values\”:{\”items\”:[{\”value\”:\”DefaultPubD\”}]}},{\”key\”:\”aws:Resource\”,\”values\”:{\”items\”:[{\”value\”:\”subnet/subnet-0bd7cd46\”}]}},{\”key\”:\”aws:Account\”,\”values\”:{\”items\”:[{\”value\”:\”123456789012\”}]}},{\”key\”:\”ec2:AvailabilityZone\”,\”values\”:{\”items\”:[{\”value\”:\”us-east-1d\”}]}},{\”key\”:\”ec2:ResourceTag/Name\”,\”values\”:{\”items\”:[{\”value\”:\”DefaultPubD\”}]}},{\”key\”:\”ec2:SubnetID\”,\”values\”:{\”items\”:[{\”value\”:\”subnet-0bd7cd46\”}]}},{\”key\”:\”aws:Region\”,\”values\”:{\”items\”:[{\”value\”:\”us-east-1\”}]}},{\”key\”:\”aws:Service\”,\”values\”:{\”items\”:[{\”value\”:\”ec2\”}]}},{\”key\”:\”aws:Type\”,\”values\”:{\”items\”:[{\”value\”:\”subnet\”}]}},{\”key\”:\”ec2:Region\”,\”values\”:{\”items\”:[{\”value\”:\”us-east-1\”}]}},{\”key\”:\”aws:ARN\”,\”values\”:{\”items\”:[{\”value\”:\”arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0bd7cd46\”}]}}]}}}”
}

上記のような結果が返ってきて、ec2:CreateNetworkInterfaceアクションがDenyされたことがわかりました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「AWS認定資格試験テキスト　AWS認定AIプラクティショナー」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, cli, sts

Tweet

関連記事

: Kinesis Data Analyticsの検索結果をKinesis Data FirehoseからS3バケットに保存する

Kinesis Data AnalyticsをKinesis Data Stre …

: AWSルートユーザーのパスワード復旧

AWSルートユーザーのパスワード最設定は、メールアドレスだけでいいのですね。 M …

: Amazon LinuxにAlfresco Community Editionをインストールする

ダウンロード準備 Alfresco公式サイトで、「エンタープライズコンテンツ管理 …

: Amazon InspectorによるLambda関数の脆弱性検出結果を確認しました

AWS re:Invent 2022期間内に発表されましたAmazon Insp …

: Amazon Linux2(EC2)にEC-CUBE 4をインストール

こちらのHOMEお知らせ・コラムAmazon Linux2にEC-CUBE4.0 …

: Amazon VPCにオンプレミス検証環境想定プライベートDNSサーバー(BIND)をEC2で起動する

オンプレミス想定の検証で使うために、Amazon VPCにプライベート向けDNS …

: 「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー」を執筆いたしました

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー」という本の第 …

: Lambdaでちょっとしたコードを試すときに便利なエディタのフルスクリーン機能

Lambda歴6年で、はじめて使いました。この存在に気がついてなかったです。 …

: サービスディスカバリを使用してECSサービスの作成

ECSデベロッパーガイドのチュートリアル:サービスディスカバリを使用して、サービ …

: S3オブジェクトロックを試しました

S3オブジェクトロックが必要になる要件に今のところ、出会ってないのでまだ設定した …

PREV: Amazon Connectから問い合わせ追跡レコード(CTR)をエクスポート
NEXT: EC2 Image BuilderでRocket.ChatのAMIを作って起動テンプレートを更新しました