Amazon ECS IAM Anywhere-Rolle - Amazon Elastic Container Service
Die Amazon ECS Anywhere-Rolle erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon ECS IAM Anywhere-Rolle

Wenn Sie einen lokalen Server oder eine virtuelle Maschine (VM) in Ihrem Cluster registrieren, benötigt der Server oder die VM eine IAM Rolle, mit AWS APIs der er kommunizieren kann. Sie müssen diese IAM Rolle nur einmal für jedes AWS Konto erstellen. Diese IAM Rolle muss jedoch jedem Server oder jeder VM zugeordnet werden, die Sie für einen Cluster registrieren. Diese Rolle ist ECSAnywhereRole. Sie können diese Rolle manuell erstellen. Alternativ ECS kann Amazon die Rolle in Ihrem Namen erstellen, wenn Sie eine externe Instance in der registrieren AWS Management Console. Sie können die IAM Konsolensuche verwenden, um nach der Rolle zu suchen ecsAnywhereRole und festzustellen, ob Ihr Konto bereits über diese Rolle verfügt. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMKonsolensuche.

AWS stellt zwei verwaltete IAM Richtlinien bereit, die bei der Erstellung der ECS IAM Anywhere-Rolle verwendet werden können: die AmazonEC2ContainerServiceforEC2Role Richtlinien AmazonSSMManagedInstanceCore und. Die AmazonEC2ContainerServiceforEC2Role-Richtlinie enthält Berechtigungen, die wahrscheinlich mehr Zugriff bieten, als Sie benötigen. Daher empfiehlt es sich, je nach Anwendungsfall eine benutzerdefinierte Richtlinie zu erstellen, die nur die Berechtigungen dieser Richtlinie hinzufügt, die Sie in dieser Richtlinie benötigen. Weitere Informationen finden Sie unter ECSIAMAmazon-Container-Instance-Rolle.

Die IAM Rolle „Aufgabenausführung“ erteilt dem ECS Amazon-Container-Agenten die Erlaubnis, in Ihrem Namen AWS API Anrufe zu tätigen. Wenn eine IAM Rolle zur Aufgabenausführung verwendet wird, muss sie in Ihrer Aufgabendefinition angegeben werden. Weitere Informationen finden Sie unter Rolle bei der Ausführung von ECS IAM Amazon-Aufgaben.

Die Aufgabenausführungsrolle ist erforderlich, wenn eine der folgenden Bedingungen zutrifft:

  • Sie senden Container-Logs mithilfe des CloudWatch Log-Treibers awslogs an Logs.

  • Ihre Aufgabendefinition spezifiziert ein Container-Image, das in einem ECR privaten Amazon-Repository gehostet wird. Wenn die ECSAnywhereRole Rolle, die Ihrer externen Instance zugeordnet ist, jedoch auch die zum Abrufen von Bildern von Amazon erforderlichen Berechtigungen umfasst, ECR muss Ihre Aufgabenausführungsrolle diese nicht enthalten.

Die Amazon ECS Anywhere-Rolle erstellen

Alle ersetzen user input mit deinen eigenen Informationen.

  1. Erstellen Sie eine lokale Datei ssm-trust-policy.json mit dem Namen der folgenden Vertrauensrichtlinie.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {"Service": [
      "ssm.amazonaws.com"
    ]},
    "Action": "sts:AssumeRole"
  }
}

  2. Erstellen Sie die Rolle und fügen Sie die Vertrauensrichtlinie mit dem folgenden AWS CLI Befehl hinzu.

    aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json

  3. Fügen Sie die AWS verwalteten Richtlinien mit dem folgenden Befehl an.

    aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

Sie können die Rolle auch mithilfe des Workflows für IAM benutzerdefinierte Vertrauensrichtlinien erstellen. Weitere Informationen finden Sie im Benutzerhandbuch unter Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole). IAM