AWS CLI Problem

💡 AWS CLI는 AWS 서비스를 관리하는 통합 도구입니다.
도구 하나만 다운로드 하여 구성하면 여러 AWS 서비스를 명령줄에서 제어하고 스크립트로 자동화 할 수 있습니다.

• https://passwd.tistory.com/114(Profile 내용)
• https://brandiscrafts.com/aws_ca_bundle-the-20-correct-answer/ (좋음)

---

일반적인 문제해결

---

AWS CLI 명령 형식 확인

명령이 존재하지 않거나 Parameter validation failed 문서에서 사용할 수 있는 매개변수()를 인식하지 못한다는 오류를 수신하는 경우 명령 형식이 잘못됐을 수도 있다.

• 터미널에 적합한 모든 따옴표와 이스케이프가 명령에서 올바른지 확인하십시오.
• AWS CLI 스켈레톤 을 생성하여 명령 구조를 확인합니다.
• 맞춤법 및 형식 오류가 있는지 명령을 확인하십시오.

--debug 옵션을 사용

이 옵션을 사용하면 CLI가 명령을 처리하는데 필요한 모든 단계에 대한 세부 정보를 출력합니다.
출력의 세부 정보는 오류가 발생한 시점을 결정하는 데 도움이 될 수 있으며 오류가 시작된 위치에 대한 단서를 제공합니다.

옵션을 포함하면 --debug 같은 세부 정보가 포함됩니다.

• 자격 증명을 찾는 중
• 제공된 매개변수 구문 분석
• AWS 서버로 전송된 요청 구성
• AWS로 전송된 요청의 내용
• 원시 응답의 내용
• 형식이 지정된 출력

stderr 진단 정보만 보내려면 2> debug.txt를 추가합니다. 여기서 debug.txt는 디버그 파일에 사용할 이름입니다.

$ aws servicename commandname options --debug 2> debug.txt
$ aws s3 cp options --debug 2> debug.txt

출력과 stderr 진단 정보 둘 다 보내려면 &> debug.txt를 추가합니다. 여기서 debug.txt는 디버그 파일에 사용할 이름입니다.

$ aws servicename commandname options --debug &> debug.txt
$ aws s3 cp options --debug &> debug.txt

다음은 --debug옵션을 Profile에 대해서 사용할 때와 사용하지 않을 때의 명령 실행의 예입니다.

• Profile 적용 방법

aws configure --profile [ProfileName] #그런 다음 사용자 Access Key랑 Secret Key 설정


- 사용 X

```bash
$ aws iam list-groups --profile [ProfileName]
{
    "Groups": [
        {
            "Path": "/",
            "GroupName": "MyTestGroup",
            "GroupId": "AGPA0123456789EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/MyTestGroup",
            "CreateDate": "2019-08-12T19:34:04Z"
        }
    ]
}

• 사용 O

$ aws iam list-groups --profile [ProfileName] --debug
2019-08-12 12:36:18,305 - MainThread - awscli.clidriver - DEBUG - CLI version: aws-cli/1.16.215 Python/3.7.3 Linux/4.14.133-113.105.amzn2.x86_64 botocore/1.12.205
2019-08-12 12:36:18,305 - MainThread - awscli.clidriver - DEBUG - Arguments entered to CLI: ['iam', 'list-groups', '--debug']
2019-08-12 12:36:18,305 - Main2019-08-12 12:36:18,320 - MainThread - botocore.load2019-08-12 12:36:18,326 - MainThread - botocore.hooks - DEBUG - Event building-argument-table.iam.list-groups: calling handler <function add_generate_skeleton at 0x7fdf1737eae8>
.
.
.
2019-08-12 12:36:18,343 - MainThread - botocore.auth - DEBUG - CanonicalRequest:
POST
/

content-type:application/x-www-form-urlencoded; charset=utf-8
host:iam.amazonaws.com
x-amz-date:20190812T193618Z

content-type;host;x-amz-date
5f776d91EXAMPLE9b8cb5eb5d6d4a787a33ae41c8cd6eEXAMPLEca69080e1e1f
2019-08-12 12:36:18,344 - MainThread - botocore.auth - DEBUG - StringToSign:
AWS4-HMAC-SHA256
20190812T193618Z
20190812/us-east-1/iam/aws4_request
ab7e367eEXAMPLE2769f178ea509978cf8bfa054874b3EXAMPLE8d043fab6cc9
2019-08-12 12:36:18,344 - MainThread - botocore.auth - DEBUG - Signature:
d85a0EXAMPLEb40164f2f539cdc76d4f294fe822EXAMPLE18ad1ddf58a1a3ce7
b'<ListGroupsResponse xmlns="https://iam.amazonaws.com/doc/2010-05-08/">\n  <ListGroupsResult>\n    <IsTruncated>false</IsTruncated>\n    <Groups>\n      <member>\n        <Path>/</Path>\n        <GroupName>MyTestGroup</GroupName>\n        <Arn>arn:aws:iam::123456789012:group/MyTestGroup</Arn>\n        <GroupId>AGPA1234567890EXAMPLE</GroupId>\n        <CreateDate>2019-08-12T19:34:04Z</CreateDate>\n      </member>\n    </Groups>\n  </ListGroupsResult>\n  <ResponseMetadata>\n    <RequestId>74c11606-bd38-11e9-9c82-559da0adb349</RequestId>\n  </ResponseMetadata>\n</ListGroupsResponse>\n'
2019-08-12 12:36:18,665 - MainThread - botocore.hooks - DEBUG - Event needs-retry.iam.ListGroups: calling handler <botocore.retryhandler.RetryHandler object at 0x7fdf16e9a780>
2019-08-12 12:36:18,665 - MainThread - botocore.retryhandler - DEBUG - No retry needed.
2019-08-12 12:36:18,665 - MainThread - botocore.hooks - DEBUG - Event after-call.iam.ListGroups: calling handler <function json_decode_policies at 0x7fdf189b1d90>
{
    "Groups": [
        {
            "Path": "/",
            "GroupName": "MyTestGroup",
            "GroupId": "AGPA123456789012EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/MyTestGroup",
            "CreateDate": "2019-08-12T19:34:04Z"
        }
    ]
}

---

AWS CLI 명령 기록 로그 활성화 및 검토

---

cli_history 파일 설정을 사용하여 AWS CLI 명령 기록 로그를 활성화 할 수 있습니다. 이 설정을 화성화하면 AWS CLI가 aws명령 기록을 기록합니다.

$ aws configure set cli_history enabled

옵션을 포함하면 —debug같은 세부 정보가 포함됩니다.

• botocore에 대한 API 호출
• 상태코드
• HTTP 응답
• 헤더
• 반환 코드

👉 이 정보를 사용하여 매개변수 데이터 및 API 호출이 예상대로 작동하는지 확인한 다음 명령이 실패하는 프로세스 단계를 추론할 수 있습니다.

---

명령을 찾을 수 없음 오류

---

이 오류는 운영 체제가 AWS CLI 명령을 찾을 수 없음을 의미합니다. 설치가 불완전하거나 업데이트가 필요한 상황일 수 있습니다.

가능한 원인(1): 설치된 버전보다 최신 AWS CLI 기능을 사용하려고 하거나 형식이 잘못되었습니다.

예제 오류 텍스트:

$ aws s3 copy
usage: aws [options] <command> <subcommand> [<subcommand> ...] [parameters]
To see help text, you can run:

  aws help
  aws <command> help
  aws <command> <subcommand> help
aws: error: argument subcommand: Invalid choice, valid choices are:

ls                                       | website
cp                                       | mv
....

명령 형식이 잘못되었거나 기능이 릴리스되기 전의 이전 버전을 사용 중인 경우 다양한 오류가 발생할 수 있습니다.

가능한 원인(2): 설치 후 터미널을 다시 시작해야 합니다.

예제 오류 텍스트:

$ aws --version
command not found: aws

AWS CLI를 처음 설치하거나 업데이트 한 후 명령을 찾을 수 없는 경우 aws업데이트를 인식하도록 터미널을 다시 시작해야 할 수 있습니다.

가능한 원인(3): AWS CLI에 권한이 없습니다(Linux)

해결 방법

$ sudo chmod -R 755 /usr/local/aws-cli/

가능한 원인(4): PATH설치 중에 운영 체제가 업데이트되지 않았습니다 .

$ aws --version
command not found: aws

• aws 실행 파일을 운영 체제의 PATH환경 변수에 추가해야 할 수 있습니다.

  1. 사용자 디렉터리에서 셸의 프로파일 스크립트를 찾습니다. 어떤 셸을 가지고 있는지 모르는 경우 echo $SHELL 을 실행합니다.

     $ ls -a ~
     .  ..  .bash_logout  .bash_profile  .bashrc  Desktop  Documents  Downloads

  • Bash - .bash_profile, .profile 또는 .bash_login
  • Zsh - .zshrc
  • Tcsh - .tcshrc, .cshrc 또는 .login

  1. 내보내기 명령을 프로필 스크립트에 추가 하세요. 다음 명령은 현재 PATH변수에 로컬 bin을 추가합니다.

     export PATH=/usr/local/bin:$PATH

  2. 현재 세션에 업데이트된 프로파일을 다시 로드합니다.

     source ~/.bash_profile

---

AWS Version 문제

---

“AWS —version” 명령이 설치한 버전과 다른 버전을 반환함

터미널이 AWS CLI에 대해 예상과 다른 PATH를 반환할 수 있습니다.

가능한 해결방안: 설치 후 터미널을 다시 시작해야 함
aws명령에 잘못된 버전이 표시되는 경우 PATH업데이트를 인식하도록 터미널을 재시작해야 인식할 수 있습니다.

가능한 원인: 여러 버전의 AWS CLI가 있음

AWS CLI를 업데이트하면서 기존 설치와 다른 설치 방법을 사용한 경우 여러 버전이 설치될 수 있습니다.
예를 들어 Linux 또는 macOS에서 현재 설치에 pip를 사용했지만 .pkg 설치 파일을 사용하여 업데이트를 시도한 경우 특히 이전 버전을 가리키는 PATH와 충돌이 발생할 수 있습니다.

💡 이 문제를 해결하려면 모든 버전의 CLI를 제거 후 새로 설치를 수행합니다.

---

AWS CLI 제거 후 버전 반환 문제

---

AWS CLI를 제거한 후 ‘aws --version’ 명령이 버전을 반환함

이는 대개 시스템 어딘가에 AWS CLI가 아직 설치되어 있는 경우 발생합니다.

가능한 원인: 제거 후 터미널을 다시 시작해야 함

aws --version명령이 여전히 작동하는 경우 터미널 업데이트를 인식하도록 터미널을 다시 시작해야 할 수 있습니다.

가능한 원인: 시스템에 여러 버전의 AWS CLI가 있거나 원래 AWS CLI를 설치하는 데 사용한 것과 동일한 제거 방법을 사용하지 않음

CLI를 설치하는데 사용한 것과 다른 방법을 사용하여 제거했거나 여러 버전을 설치한 경우 CLI가 올바르게 제거되지 않을 수 있습니다. 이 문제를 해결하려면 설치에 사용한 것과 동일한 방법을 사용하여 AWS CLI를 제거합니다.

1. 운영체제 및 원래 설치 방법에 해당하는 지침을 따라 버전1, 버전2를 제거합니다.
2. 열려 있는 터미널을 모두 닫습니다.
3. 원하는 터미널을 열고 다음 명령에 입력한 후 버전이 반환되지 않는지 확인합니다.

$ aws --version
command not found: aws

💡 출력에 여전히 버전이 나열되어 있는 경우 AWS CLI가 다른 방법을 사용하여 설치되었거나 여러 버전이 있을 가능성이 큽니다. AWS CLI를 설치하는데 사용한 방법을 모르는 경우 버전 출력이 표시되지 않을 때까지 운영 체제에 해당하는 CLI버전1, 버전2의 각 제거 방법 지침을 따릅니다.

---

액세스 거부 오류

---

가능한 원인: AWS CLI 프로그램 파일에 '실행' 권한이 없음

• Linux 또는 macOS에서 aws프로그램이 호출하는 사용자에 대한 실행 권한을 가지고 있는지 확인합니다.
• 일반적으로 사용 권한은 755로 설정됩니다.

사용자에 대한 실행 권한을 추가하려면 다음 명령을 실행합니다. 이때 /bin/aws 를 사용자 컴퓨터의 프로그램 경로로 바꾸십시오.

$ chmod +x /bin/aws

가능한 원인: IAM 자격 증명에 작업을 수행할 수 있는 권한이 없음

오류 텍스트 예:

$ aws s3 ls
An error occurred (AcessDenied) when calling the ListBuckets operation: Access denied.

가능한 원인: CLI가 잘못된 보안 인증 정보 또는 예상과 다른 위치의 보안 인증 정보를 읽습니다.

AWS CLI가 예상과 다른 위치에서 보안 인증 정보를 읽고 있거나 키 페어 정보가 올바르지 않을 수 있습니다. aws configure list를 실행하여 어떤 자격 증명을 사용하고 있는지 확인할 수 있습니다.

자격 증명 확인방법 예제

기본 프로파일에 사용된 자격 증명을 확인하는 방법

$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************XYVA shared-credentials-file
secret_key     ****************ZAGY shared-credentials-file
    region                us-west-2      config-file    ~/.aws/config

💡 키 페어 세부 정보를 확인하려면 config및 credentials파일을 검토합니다.

명명된 프로파일의 자격 증명을 확인하는 방법

$ aws configure list --profile [ProfileName]
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                    saanvi           manual    --profile
access_key         **************** shared-credentials-file
secret_key         **************** shared-credentials-file
    region                us-west-2      config-file    ~/.aws/config

---

컴퓨터의 클록이 동기화되지 않음 오류

---

수정하기 - https://junhyeong-jang.tistory.com/27

가능한 원인: 컴퓨터의 클록이 동기화되지 않음

유효한 보안 인증 정보를 사용 중이라면 클록이 동기화 되지 않았을 수 있습니다. Linux of macOS에서 date를 실행하여 시간을 확인합니다.

$ date

• 정상
  
• 비정상: date가 출력이 안됨

몇 분 안에 시스템 클록이 정확하지 않으면 ntpd를 사용하여 동기화함.

💡 Windows에서는 제어판의 날짜 및 시간 옵션을 사용하여 시스템 클록을 구성한다.

---

서명 불일치 오류

---

오류 텍스트 예:

$ aws s3 ls
An error occurred (SignatureDoesNotMatch) when calling the ListBuckets operation: The request signature we
calculated does not match the signature you provided. Check your key and signing method.

CLI에서 명령을 실행하면 암호화된 요청을 서버에 보내 적절한 서비스 작업을 수행합니다.
자격 증명이 암호화에 포함되며 자격 증명을 통해 AWS에서 요청하는 사람을 인증할 수 있습니다.

가능한 원인: 클록이 AWS 서버와 동기화되지 않음

재생 공격으로부터 보호하기 위해 암호화/암호 해독 프로세스 동안 현재 시간이 사용될 수 있습니다.

클라이언트 및 서버의 시간이 허용된 시간을 넘는 경우 프로세스가 실패할 수 있고 요청이 거부된다.

💡 재생공격이란? Replay Attack으로 유효한 데이터 전송이 악의적으로 또는 부정하게 반복되거나 지연되는 네트워크 공격의 한 형태입니다.

가능한 원인: 운영 체제에서 특정 특수 문자가 포함된 AWS 보안 키를 잘못 처리하고 있음

• AWS 보안 암호키에 , +, / 또는 %와 같은 특정 특수 문자가 포함되어 있는 경우 일부 운영 체제 변형에서 해당 문자열을 잘못 처리해 보안 키 문자열이 잘못 해석된다.
• 자격 증명 파일 생성 중 새 인스턴스에 자격 증명 파일을 작성하는 도구와 같이 다른 도구 & 스크립트를 사용해 키 및 보안 키를 처리할 때 도구 및 스크립트를 통해 특수 문자가 AWS에서 더 이상 인식 할 수 없도록 특수 문자를 자체적으로 처리할 수도 있다.

💡 문제를 일으키는 특수 문자가 포함되지 않는 비밀 키를 얻으려면 비밀 키를 다시 생성하는 것이 좋습니다

---

SSL 인증서 오류

---

가능한 원인: AWS CLI가 프록시 인증서를 신뢰하지 않음

오류 텍스트 예:

$ aws s3 ls
[SSL: CERTIFICATE_ VERIFY_FAILED] certificate verify failed

💡 AWS CLI 명령을 사용하면 [SSL: CERTIFICATE_ VERIFY_FAILED] certificate verify failed 오류 메시지를 받게 됩니다. 이는 사용자의 프록시 인증서가 자체 서명되고 회사가 인증 기관(CA)로 설정된 것과 같은 요인으로 인해 AWS CLI가 프록시의 인증서를 신뢰하지 않기 때문에 발생합니다.

가능한 원인: 구성이 올바른 CA 루트 인증서 위치를 가리키지 않음

오류 텍스트 예:

$ aws s3 ls
SSL validation failed for regionname [Errno 2] No such file or directory

💡 이것은 AWS CLI에서 인증기관(CA) 번들 파일 위치가 잘못 구성되었기 때문에 발생합니다. 이 문제를 해결하려면 회사 .pem 파일의 위치를 확인하고 ca_bundle 구성 파일 설정, --ca-bundle 명령줄 옵션 또는 AWS_CA_BUNDLE 환경 변수를 사용하여 AWS CLI 구성을 업데이트합니다.

---

python 3.10은 CLI에서 지원하지 않습니다.