amazon-web-services - cloudformation生命周期事件无法发布到sns

Question

我正在尝试为 AWS Amazon cloudformation 中的自动缩放组创建生命周期事件，但是在部署我的堆栈时，我不断收到一个非常模糊的错误:

无法将测试消息发布到通知目标
arn:aws:sns:us-east-1:000000000000:example-topic 使用 IAM 角色 arn:aws:iam::000000000000:role/SNSExample。请检查您的目标和角色配置，并尝试再次放置生命周期 Hook 。

我已经测试了 SNS 主题，它可以正常发送电子邮件，并且我的代码似乎符合亚马逊的建议:

"ASGLifecycleEvent": {
  "Type": "AWS::AutoScaling::LifecycleHook",
  "Properties": {
    "AutoScalingGroupName": "ASG-179ZOVNY8SEFT",
    "LifecycleTransition": "autoscaling:EC2_INSTANCE_LAUNCHING",
    "NotificationTargetARN": "arn:aws:sns:us-east-1:000000000000:example-topic",
    "RoleARN": "arn:aws:iam::000000000000:role/SNSExample"
  },
  "Metadata": {
    "AWS::CloudFormation::Designer": {
      "id": "83129091-8efc-477d-86ef-9a08de4d6fac"
    }
  }
}

我已授予对该 IAM 角色中所有内容的完全访问权限，但我仍然收到此错误消息。有谁有任何其他想法可能真正导致此错误？

Answer 1

您的 SNSExample 角色需要通过关联的信任策略 (Trust Policy) 将权限从 AutoScalingNotificationAccessRole 托管策略委派给 autoscaling.amazonaws.com 服务 ( AssumeRolePolicyDocument CloudFormation 资源中的属性):

  SNSExample:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Statement:
        - Effect: Allow
          Principal:
            Service: [autoscaling.amazonaws.com]
          Action: ['sts:AssumeRole']
      Path: /
      ManagedPolicyArns:
      - arn:aws:iam::aws:policy/service-role/AutoScalingNotificationAccessRole

(您还可以委派对 sns:Publish 操作的访问权限，而不是使用托管策略，但我建议使用托管策略，因为如果此服务需要其他权限，它将保持最新状态 future 。)

请参阅Receive Notification Using Amazon SNS有关详细信息，请参阅 Auto Scaling 用户指南的 Auto Scaling 生命周期 Hook 部分。