IAM-Rolle in Amazon ECS Anywhere - Amazon Elastic Container Service
Die Amazon ECS Anywhere Anywhere-Rolle erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Rolle in Amazon ECS Anywhere

Wenn Sie einen lokalen Server oder eine virtuelle Maschine (VM) in Ihrem Cluster registrieren, benötigt der Server oder die VM eine IAM-Rolle für die Kommunikation. AWS APIs Sie müssen diese IAM-Rolle nur einmal für jedes Konto erstellen. AWS Diese IAM-Rolle muss jedoch jedem Server oder VM zugeordnet werden, den/die Sie bei einem Cluster registrieren. Diese Rolle ist ECSAnywhereRole. Sie können diese Rolle manuell erstellen. Alternativ kann Amazon ECS die Rolle in Ihrem Namen erstellen, wenn Sie eine externe Instance in AWS Management Console registrieren. Sie können die Suche in der IAM-Konsole verwenden, um nach der Rolle zu suchen ecsAnywhereRole und festzustellen, ob Ihr Konto bereits über diese Rolle verfügt. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Suche in der IAM-Konsole.

AWS stellt zwei verwaltete IAM-Richtlinien bereit, die bei der Erstellung der ECS Anywhere-IAM-Rolle verwendet werden können: die Richtlinien und. AmazonSSMManagedInstanceCore AmazonEC2ContainerServiceforEC2Role Die AmazonEC2ContainerServiceforEC2Role-Richtlinie enthält Berechtigungen, die wahrscheinlich mehr Zugriff bieten, als Sie benötigen. Daher empfiehlt es sich, je nach Anwendungsfall eine benutzerdefinierte Richtlinie zu erstellen, die nur die Berechtigungen dieser Richtlinie hinzufügt, die Sie in dieser Richtlinie benötigen. Weitere Informationen finden Sie unter IAM-Rolle für Amazon-ECS-Container-Instance.

Die IAM-Rolle für die Aufgabenausführung, die dem Amazon-ECS-Containeragenten die Berechtigung erteilt, AWS -API-Aufrufe in Ihrem Namen durchzuführen. Wenn eine IAM-Rolle für die Aufgabenausführung verwendet wird, muss sie in der Aufgabendefinition angegeben werden. Weitere Informationen finden Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung.

Die Aufgabenausführungsrolle ist erforderlich, wenn eine der folgenden Bedingungen zutrifft:

  • Sie senden Container-Logs mithilfe des CloudWatch Log-Treibers an awslogs Logs.

  • Ihre Aufgabendefinition gibt ein Container-Image an, das in einem privaten Amazon ECR-Repository gehostet wird. Wenn die ECSAnywhereRole Rolle, die Ihrer externen Instance zugeordnet ist, jedoch auch die zum Abrufen von Bildern aus Amazon ECR erforderlichen Berechtigungen umfasst, muss Ihre Aufgabenausführungsrolle diese nicht enthalten.

Die Amazon ECS Anywhere Anywhere-Rolle erstellen

Ersetzen Sie alles user input durch Ihre eigenen Informationen.

  1. Erstellen Sie eine lokale Datei ssm-trust-policy.json mit dem Namen der folgenden Vertrauensrichtlinie.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {"Service": [
      "ssm.amazonaws.com"
    ]},
    "Action": "sts:AssumeRole"
  }
}

  2. Erstellen Sie die Rolle und fügen Sie die Vertrauensrichtlinie mit dem folgenden AWS CLI Befehl hinzu.

    aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json

  3. Hängen Sie die AWS verwalteten Richtlinien mit dem folgenden Befehl an.

    aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

Sie können die Rolle auch mithilfe des Workflows für benutzerdefinierte IAM-Vertrauensrichtlinien erstellen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).