AWS Elastic Beanstalk: 无法通过EB CLI部署到工作环境

如果你不想添加完整的DynamoDB访问权限（就像我一样），Beanstalk现在提供了Worker环境权限的托管策略（AWSElasticBeanstalkWorkerTier）。你可以尝试将其中之一添加到你的实例配置文件角色中。
请参见http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/iam-instanceprofile.html。

我们遇到了同样的问题，并通过将AmazonDynamoDBFullAccess附加到Elastic Beanstalk角色（在我们的情况下命名为aws-elasticbeanstalk-ec2-role）来解决它。

我正在使用 Codepipeline 部署我的 worker，但一直遇到同样的错误。最终，我尝试为 AWS-CodePipeline-Service 提供 AmazonDynamoDBFullAccess 策略，似乎解决了这个问题。

根据Anthony的建议，从其他服务（例如CodePipeline）触发部署时，其服务角色需要具有dynamodb:CreateTable权限才能在DynamoDB中创建Leader Registry表（有关更多信息，请参见下文）。添加Full Access权限是一种不好的做法，应该避免。另外，托管策略AWSElasticBeanstalkWorkerTier没有适当的权限，因为它是为了让worker访问DynamoDB并检查它们是否是当前领导者而设计的。
1. 找到试图创建表格的角色：
- 进入CloudTrail > Event History - 过滤事件名称: CreateTable - 确保错误代码为AccessDenied - 定位角色名称（如AWSCodePipelineServiceRole-us-east-1-dev）：

2. 添加权限：

• 前往IAM > 角色
• 在列表中找到相应的角色
• 附加一个策略：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateCronLeaderTable",
            "Effect": "Allow",
            "Action": "dynamodb:CreateTable",
            "Resource": "arn:aws:dynamodb:*:*:table/*-stack-AWSEBWorkerCronLeaderRegistry*"
        }
    ]
}

3. 检查结果：

2. 通过触发流水线进行重新部署
3. 检查 Elasticbeanstalk 是否有错误
4. 可选地，前往 CloudTrail 并确保此次请求成功。

您可以在任何时候使用此技术，以确保附加到何种权限上。

关于 Cron Leader 表格

来自 定期任务文档：

Elastic Beanstalk 使用领导者选举来确定工作环境中的哪个实例将周期性任务排队。每个实例都尝试通过写入 Amazon DynamoDB 表格来成为领导者。第一个成功的实例是领导者，并且必须继续写入表格以维护领导者状态。如果领导者停止服务，则另一个实例会迅速取代它。

对于那些想知道的人，此 DynamoDB 表格使用 10 RCU 和 5 WCU，已由始终免费的套餐覆盖。