Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM-Rolle für die Amazon ECS-Infrastruktur
Eine Amazon ECS-Infrastruktur-IAM-Rolle ermöglicht Amazon ECS, die Infrastrukturressourcen in Ihren Clustern in Ihrem Namen zu verwalten. Sie wird verwendet, wenn:
-
Sie möchten Amazon EBS-Volumes an Ihr Fargate anhängen oder Amazon ECS-Aufgaben EC2 starten. Die Infrastrukturrolle ermöglicht es Amazon ECS, Amazon EBS-Volumes für Ihre Aufgaben zu verwalten.
-
Sie möchten Transport Layer Security (TLS) verwenden, um den Verkehr zwischen Ihren Amazon ECS Service Connect-Services zu verschlüsseln.
-
Sie möchten Amazon VPC Lattice-Zielgruppen erstellen.
Wenn Amazon ECS diese Rolle übernimmt, um in Ihrem Namen Maßnahmen zu ergreifen, werden die Ereignisse in sichtbar sein AWS CloudTrail. Wenn Amazon ECS die Rolle zur Verwaltung von Amazon EBS-Volumes verwendet, die an Ihre Aufgaben angehängt sind, roleSessionName
wird ECSTaskVolumesForEBS
das CloudTrail Protokoll gespeichert. Wenn die Rolle zur Verschlüsselung des Datenverkehrs zwischen Ihren Service Connect-Diensten verwendet wird, roleSessionName
wird ECSServiceConnectForTLS
das CloudTrail Protokoll gespeichert. Wenn die Rolle verwendet wird, um Zielgruppen für VPC Lattice zu erstellen, roleSessionName
wird das CloudTrail Protokoll verwendet. ECSNetworkingWithVPCLattice
Sie können diesen Namen verwenden, um Ereignisse in der CloudTrail Konsole zu suchen, indem Sie nach dem Benutzernamen filtern.
Amazon ECS bietet verwaltete Richtlinien, die die für Volume Attachment und TLS erforderlichen Berechtigungen enthalten. Weitere Informationen finden Sie unter Amazon ECSInfrastructure RolePolicyForVolumes ECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity, Amazon und Amazon ECSInfrastructure RolePolicyForVpcLattice im AWS Managed Policy Reference Guide.
Die Amazon ECS-Infrastrukturrolle erstellen
Ersetzen Sie alles user input
durch Ihre eigenen Informationen.
-
Erstellen Sie eine Datei namens
ecs-infrastructure-trust-policy.json
, die die Vertrauensrichtlinie enthält, die für die IAM-Rolle verwendet werden soll. Die Datei sollte Folgendes enthalten:{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToECSForInfrastructureManagement", "Effect": "Allow", "Principal": { "Service": "ecs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Verwenden Sie den folgenden AWS CLI Befehl, um eine Rolle zu erstellen, die
ecsInfrastructureRole
mithilfe der Vertrauensrichtlinie benannt wird, die Sie im vorherigen Schritt erstellt haben.aws iam create-role \ --role-name
ecsInfrastructureRole
\ --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
-
Hängen Sie je nach Anwendungsfall die AWS verwaltete
AmazonECSInfrastructureRolePolicyForVolumes
AmazonECSInfrastructureRolePolicyForVpcLattice
Richtlinie oder die Richtlinie an dieecsInfrastructureRole
Rolle an.AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
aws iam attach-role-policy \ --role-name
ecsInfrastructureRole
\ --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumesaws iam attach-role-policy \ --role-name
ecsInfrastructureRole
\ --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
Sie können die Rolle auch mithilfe des Workflows für benutzerdefinierte Vertrauensrichtlinien der IAM-Konsole erstellen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).
Wichtig
Wenn die ECS-Infrastrukturrolle von Amazon ECS zur Verwaltung von Amazon EBS-Volumes verwendet wird, die Ihren Aufgaben zugeordnet sind, stellen Sie Folgendes sicher, bevor Sie Aufgaben beenden, die Amazon EBS-Volumes verwenden.
-
Die Rolle wird nicht gelöscht.
-
Die Vertrauensrichtlinie für die Rolle wurde nicht geändert, um den Amazon ECS-Zugriff (
ecs.amazonaws.com
) zu entfernen. -
Die verwaltete Richtlinie wurde
AmazonECSInfrastructureRolePolicyForVolumes
nicht entfernt. Wenn Sie die Berechtigungen der Rolle ändern müssen, behalten Sie mindestens, beiec2:DetachVolume
ec2:DeleteVolume
, undec2:DescribeVolumes
für das Löschen von Volumes.
Wenn Sie die Rolle löschen oder ändern, bevor Sie Aufgaben mit angehängten Amazon EBS-Volumes beenden, bleiben die Aufgaben hängen DEPROVISIONING
und die zugehörigen Amazon EBS-Volumes können nicht gelöscht werden. Amazon ECS versucht in regelmäßigen Abständen automatisch erneut, die Aufgabe zu beenden und das Volume zu löschen, bis die erforderlichen Berechtigungen wiederhergestellt sind. Mithilfe der DescribeTasksAPI können Sie den Status des Volumen-Anhangs einer Aufgabe und den zugehörigen Statusgrund einsehen.
Nachdem Sie die Datei erstellt haben, müssen Sie Ihrem Benutzer die Erlaubnis erteilen, die Rolle an Amazon ECS weiterzugeben.
Erlaubnis zur Weitergabe der Infrastrukturrolle an Amazon ECS
Um eine ECS-Infrastruktur-IAM-Rolle zu verwenden, müssen Sie Ihrem Benutzer die Erlaubnis erteilen, die Rolle an Amazon ECS weiterzugeben. Ordnen Sie Ihrem Benutzer die folgende iam:PassRole
Berechtigung zu. ecsInfrastructureRole
Ersetzen Sie es durch den Namen der Infrastrukturrolle, die Sie erstellt haben.
{ "Version": "2012-10-17", "Statement": [ { "Action": "iam:PassRole", "Effect": "Allow", "Resource": ["arn:aws:iam::*:role/
ecsInfrastructureRole
"], "Condition": { "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"} } } ] }
Weitere Informationen zu Benutzerberechtigungen iam:Passrole
und deren Aktualisierung finden Sie unter Gewähren von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst und Ändern der Berechtigungen für einen IAM-Benutzer im AWS Identity and Access Management Benutzerhandbuch.