我正试图在严格受限的AWS环境中部署批处理计算环境。出于计费目的,所有创建的资源都需要标记(例如billTo: billId(,如果我试图创建没有此标记的资源,我会被显式拒绝阻止。当Batch Compute Environment尝试创建ECS集群时,我会收到以下错误,因为它没有向它传递标签。
User: arn:aws:sts::<accountId>:assumed-role/<roleName> is not authorized to perform ecs:CreateCluster on resource: * with an explicit deny
创建批处理计算环境时,有两个地方可以指定标记(标记计算环境和标记计算环境使用的EC2资源(。我尝试在两个位置添加billTo标记,但仍然遇到了相同的错误。
有人知道在创建新的Batch Compute环境时,是否可以让Batch标记它试图创建的ECS集群吗?
注意:我也试着弄清楚如何通过现有的ECS集群,但这是不可能的(如何在AWS Batch中将现有ECS集群设置为计算环境(
截至2021-07-15,AWS不提供由批计算环境自动生成的ECS集群的标记方法。解决方案是
- 与系统管理员联系
- 让他们解除SCP(服务控制策略(,导致短窗口内的显式拒绝
- 创建批量计算环境并将标签添加到ECS集群
- 让系统管理员将SCP放回原位
- 希望您不必重新部署并再次窃听系统管理员
希望AWS能解决这个问题,并允许批处理计算环境标记ECS集群。