Esto es extraño ... Si hago clic en la identificación de la instancia y luego navego a seguridad, me dice que la instancia tiene el rol X. Luego retrocedo para ver todas las instancias, marque la casilla de verificación de la instancia en cuestión, vaya a Acciones -> Seguridad -> Modificar el rol de IAM, y me muestra un rol diferente, el rol Y. Luego trato de configurarlo en Sin rol de IAM (o cualquier rol), y obtengo este error:

"Múltiples roles asociados a la instancia

La instancia seleccionada tiene más de una función de IAM asociada. Esto suele ocurrir cuando la instancia está en proceso de reemplazar una asociación de perfil de instancia existente. "

No tengo idea de qué hacer porque no pensé que se suponía que una instancia EC2 pudiera tener dos roles ... nada puede asumir dos roles a la vez, de todos modos. Entonces esto se siente como un error ... ¿alguien puede ayudarme a resolver esto?

enter image description here

enter image description here

enter image description here

0
DillonHarless 22 ene. 2021 a las 21:44

2 respuestas

La mejor respuesta

Tuve el mismo problema y parece que al reemplazar el perfil de la instancia, de alguna manera permanece en un estado que no está completamente asociado. Usando la CLI podemos ver el estado de la asociación del perfil:

Aws ec2 describe-iam-instance-profile-association

En mi caso, el perfil problemático se mostraba como "asociado", mientras que todos los demás mostraban "asociado". Obtenga el AssociationID para la asociación problemática y desasocielo con el comando

Aws ec2 disociar-iam-instance-profile --association-id iip-assoc-xxxxxx

Después de eso, debería ver el perfil anterior que tenía originalmente y todo debería ser coherente. Espero que ayude a resolver el problema.

1
Nelson Brito 3 feb. 2021 a las 15:31

Quería exponer la respuesta de Nelson Brito ya que encontré una manera de devolver su instancia a un estado normal. Me encontré con esta situación ayer cuando ayudaba a un usuario, y observé mi instancia con dos asociaciones de perfil: una en un estado de associating y otra en un estado de disassociating. El comando para encontrar esto fue:

aws ec2 describe-iam-instance-profile-associations --filters Name=instance-id,Values=i-xxxxxx

Para solucionar el problema, primero eliminé el perfil associating usando el comando:

aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-xxxxxx

A continuación, fui a la consola y separé la instancia de todos los perfiles (probablemente haya una invocación de CLI, pero no me di cuenta). Cuando termine, debe tener una instancia limpia:

aws ec2 describe-iam-instance-profile-associations --filters Name=instance-id,Values=i-xxxxxx
{
    "IamInstanceProfileAssociations": []
}

Aquí es donde llegamos a la causa raíz. Cuando reasigné el rol que anteriormente estaba atascado en associating, bueno, permaneció atascado en associating. La causa principal de mi problema fue que el usuario había creado el rol sin establecer una relación de confianza con EC2. La solución fue de dos partes:

  1. Actualice la relación de confianza de la instancia para agregar "Service": "ec2.amazonaws.com" como un principal permitido
  2. Use la CLI para desvincular el rol y agregarlo nuevamente

Tl; dr: si alguna vez se encuentra con esto, asegúrese de que el rol que está tratando de asignar a su instancia ec2 pueda ser asumido por su instancia ec2.

0
bjcube 26 feb. 2021 a las 13:24