[AWS] IAM Role 변경 안될 경우 조치 방법

[AWS] IAM Role 변경 안될 경우 조치 방법에 대해서 알아보자.

 

사례

 

1. i-0a49cfc1ab023ded5 서버의 Cloud watch를 적용하기 위한 IAM role 수정 진행
기설정 : AWSControlTowerExecution
변경 대상 : CloudWatchAgen ServerRole

2. 변경 시도 결과 둘 이상의 IAM 역할 연결로 인하여 변경 불가 에러 확인

3. 기설정 AWS Control Tower Execution의 IAM에 Cloud Watch Agent Server Role 추가 적용 시도하였으나 추가 실패 에러 확인

4. Instance 서버의 Security에서 IAM Role 확인 결과 CloudWatchAgen ServerRole 정상 적용 확인

5. CloudWatch에 해당 Instance  확인 결과 미적용 확인

 

 

조치방법

 

 Multiple role associated with instance 

• 이전 연결 해제가 API에 의해 아직 처리되지 않은 상태에서 일반적으로 인스턴스 프로필을 자주 업데이트하려는 시도가 여러 번 있을 때 발생한다.
• 이 문제를 식별하고 해결하려면 AWS CLI(Cloud Shell)를 사용하여 아래 명령을 실행한다.

Step1.

 

  $ aws ec2 describe-iam-instance-profile-associations --filters "Name=instance-id,Values=Instance ID" --region ap-southeast-1

 

Step2.

 

 $ aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-xxxxxxxxxxxxxxxxxx --region ap-southeast-1

 

• 이 명령의 출력에는 각각 고유한 연결 ID 및 상태를 가진 여러 연결이 있습니다. 일부는 “연결 중” 상태이고 일부는 “연결 해제” 상태이다.
• 다음 아래 명령을 사용하여 위의 AWS CLI 명령에서 제공한 모든 연결 ID (연결 및 연결 해제 상태 모두)를 연결 해제 후 IAM Role를 재설정한다.