IAM-Rolle für die Amazon ECS-Infrastruktur - Amazon Elastic Container Service
Die Amazon ECS-Infrastrukturrolle erstellen Erlaubnis zur Weitergabe der Infrastrukturrolle an Amazon ECS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Rolle für die Amazon ECS-Infrastruktur

Eine Amazon ECS-Infrastruktur-IAM-Rolle ermöglicht Amazon ECS, die Infrastrukturressourcen in Ihren Clustern in Ihrem Namen zu verwalten. Sie wird verwendet, wenn:

  • Sie möchten Amazon EBS-Volumes an Ihr Fargate anhängen oder Amazon ECS-Aufgaben EC2 starten. Die Infrastrukturrolle ermöglicht es Amazon ECS, Amazon EBS-Volumes für Ihre Aufgaben zu verwalten.

  • Sie möchten Transport Layer Security (TLS) verwenden, um den Verkehr zwischen Ihren Amazon ECS Service Connect-Services zu verschlüsseln.

  • Sie möchten Amazon VPC Lattice-Zielgruppen erstellen.

Wenn Amazon ECS diese Rolle übernimmt, um in Ihrem Namen Maßnahmen zu ergreifen, werden die Ereignisse in sichtbar sein AWS CloudTrail. Wenn Amazon ECS die Rolle zur Verwaltung von Amazon EBS-Volumes verwendet, die an Ihre Aufgaben angehängt sind, roleSessionName wird ECSTaskVolumesForEBS das CloudTrail Protokoll gespeichert. Wenn die Rolle zur Verschlüsselung des Datenverkehrs zwischen Ihren Service Connect-Diensten verwendet wird, roleSessionName wird ECSServiceConnectForTLS das CloudTrail Protokoll gespeichert. Wenn die Rolle verwendet wird, um Zielgruppen für VPC Lattice zu erstellen, roleSessionName wird das CloudTrail Protokoll verwendet. ECSNetworkingWithVPCLattice Sie können diesen Namen verwenden, um Ereignisse in der CloudTrail Konsole zu suchen, indem Sie nach dem Benutzernamen filtern.

Amazon ECS bietet verwaltete Richtlinien, die die für Volume Attachment und TLS erforderlichen Berechtigungen enthalten. Weitere Informationen finden Sie unter Amazon ECSInfrastructure RolePolicyForVolumes ECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity, Amazon und Amazon ECSInfrastructure RolePolicyForVpcLattice im AWS Managed Policy Reference Guide.

Die Amazon ECS-Infrastrukturrolle erstellen

Ersetzen Sie alles user input durch Ihre eigenen Informationen.

  1. Erstellen Sie eine Datei namens ecs-infrastructure-trust-policy.json, die die Vertrauensrichtlinie enthält, die für die IAM-Rolle verwendet werden soll. Die Datei sollte Folgendes enthalten:

    {
  "Version": "2012-10-17", 
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Verwenden Sie den folgenden AWS CLI Befehl, um eine Rolle zu erstellen, die ecsInfrastructureRole mithilfe der Vertrauensrichtlinie benannt wird, die Sie im vorherigen Schritt erstellt haben.

    aws iam create-role \
      --role-name ecsInfrastructureRole \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. Hängen Sie je nach Anwendungsfall die AWS verwaltete AmazonECSInfrastructureRolePolicyForVolumes AmazonECSInfrastructureRolePolicyForVpcLattice Richtlinie oder die Richtlinie an die ecsInfrastructureRole Rolle an. AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

Sie können die Rolle auch mithilfe des Workflows für benutzerdefinierte Vertrauensrichtlinien der IAM-Konsole erstellen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

Wichtig

Wenn die ECS-Infrastrukturrolle von Amazon ECS zur Verwaltung von Amazon EBS-Volumes verwendet wird, die Ihren Aufgaben zugeordnet sind, stellen Sie Folgendes sicher, bevor Sie Aufgaben beenden, die Amazon EBS-Volumes verwenden.

  • Die Rolle wird nicht gelöscht.

  • Die Vertrauensrichtlinie für die Rolle wurde nicht geändert, um den Amazon ECS-Zugriff (ecs.amazonaws.com) zu entfernen.

  • Die verwaltete Richtlinie wurde AmazonECSInfrastructureRolePolicyForVolumes nicht entfernt. Wenn Sie die Berechtigungen der Rolle ändern müssen, behalten Sie mindestens, bei ec2:DetachVolumeec2:DeleteVolume, und ec2:DescribeVolumes für das Löschen von Volumes.

Wenn Sie die Rolle löschen oder ändern, bevor Sie Aufgaben mit angehängten Amazon EBS-Volumes beenden, bleiben die Aufgaben hängen DEPROVISIONING und die zugehörigen Amazon EBS-Volumes können nicht gelöscht werden. Amazon ECS versucht in regelmäßigen Abständen automatisch erneut, die Aufgabe zu beenden und das Volume zu löschen, bis die erforderlichen Berechtigungen wiederhergestellt sind. Mithilfe der DescribeTasksAPI können Sie den Status des Volumen-Anhangs einer Aufgabe und den zugehörigen Statusgrund einsehen.

Nachdem Sie die Datei erstellt haben, müssen Sie Ihrem Benutzer die Erlaubnis erteilen, die Rolle an Amazon ECS weiterzugeben.

Erlaubnis zur Weitergabe der Infrastrukturrolle an Amazon ECS

Um eine ECS-Infrastruktur-IAM-Rolle zu verwenden, müssen Sie Ihrem Benutzer die Erlaubnis erteilen, die Rolle an Amazon ECS weiterzugeben. Ordnen Sie Ihrem Benutzer die folgende iam:PassRole Berechtigung zu. ecsInfrastructureRoleErsetzen Sie es durch den Namen der Infrastrukturrolle, die Sie erstellt haben.

{
    "Version": "2012-10-17",
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Weitere Informationen zu Benutzerberechtigungen iam:Passrole und deren Aktualisierung finden Sie unter Gewähren von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst und Ändern der Berechtigungen für einen IAM-Benutzer im AWS Identity and Access Management Benutzerhandbuch.