Die ECS Amazon-Infrastrukturrolle erstellen Erlaubnis, die Infrastrukturrolle an Amazon weiterzugeben ECS

IAMRolle bei der ECS Amazon-Infrastruktur

Eine ECS IAM Amazon-Infrastrukturrolle ermöglicht es AmazonECS, die Infrastrukturressourcen in Ihren Clustern in Ihrem Namen zu verwalten. Sie wird verwendet, wenn:

Sie möchten EBS Amazon-Volumes an Ihr Fargate anhängen oder ECS Amazon-Aufgaben EC2 starten. Die Infrastrukturrolle ermöglicht es AmazonECS, EBS Amazon-Volumes für Ihre Aufgaben zu verwalten.
Sie möchten Transport Layer Security (TLS) verwenden, um den Verkehr zwischen Ihren Amazon ECS Service Connect-Services zu verschlüsseln.

Wenn Amazon diese Rolle ECS übernimmt, um in Ihrem Namen Maßnahmen zu ergreifen, werden die Ereignisse in sichtbar sein AWS CloudTrail. Wenn Amazon die Rolle zur Verwaltung von EBS Amazon-Volumes ECS verwendet, die mit Ihren Aufgaben verknüpft sind, roleSessionName wird das CloudTrail Protokoll gespeichertECSTaskVolumesForEBS. Wenn die Rolle zur Verschlüsselung des Datenverkehrs zwischen Ihren Service Connect-Diensten verwendet wird, roleSessionName wird ECSServiceConnectForTLS das CloudTrail Protokoll gespeichert. Sie können diesen Namen verwenden, um Ereignisse in der CloudTrail Konsole zu suchen, indem Sie nach dem Benutzernamen filtern.

Amazon ECS stellt verwaltete Richtlinien bereit, die die für das Anhängen von Volumen erforderlichen Berechtigungen und enthaltenTLS. Weitere Informationen finden Sie unter A mazonECSInfrastructure RolePolicyForVolumes und A mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity im Referenzhandbuch für AWS verwaltete Richtlinien.

Die ECS Amazon-Infrastrukturrolle erstellen

Alle ersetzen user input mit deinen eigenen Informationen.

Erstellen Sie eine Datei mit dem Namenecs-infrastructure-trust-policy.json, die die Vertrauensrichtlinie enthält, die für die IAM Rolle verwendet werden soll. Die Datei sollte Folgendes enthalten:


{
  "Version": "2012-10-17", 
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

Verwenden Sie den folgenden AWS CLI Befehl, um eine Rolle zu erstellen, die ecsInfrastructureRole mithilfe der Vertrauensrichtlinie benannt wird, die Sie im vorherigen Schritt erstellt haben.
```
aws iam create-role \
      --role-name ecsInfrastructureRole \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
```

Hängen Sie je nach Anwendungsfall die AWS verwaltete Rolle AmazonECSInfrastructureRolePolicyForVolumes oder die AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity Richtlinie an die ecsInfrastructureRole Rolle an.


aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes


aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

Sie können die Rolle auch mithilfe des Workflows für benutzerdefinierte Vertrauensrichtlinien der IAM Konsole erstellen. Weitere Informationen finden Sie im Benutzerhandbuch unter Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole). IAM

Wichtig

Wenn die ECS Infrastrukturrolle von Amazon ECS zur Verwaltung von EBS Amazon-Volumes verwendet wird, die Ihren Aufgaben zugeordnet sind, stellen Sie Folgendes sicher, bevor Sie Aufgaben beenden, die EBS Amazon-Volumes verwenden.

Die Rolle wird nicht gelöscht.
Die Vertrauensrichtlinie für die Rolle wurde nicht geändert, um Amazon ECS Access (ecs.amazonaws.com) zu entfernen.
Die verwaltete Richtlinie wurde AmazonECSInfrastructureRolePolicyForVolumes nicht entfernt. Wenn Sie die Berechtigungen der Rolle ändern müssen, behalten Sie mindestens ec2:DetachVolumeec2:DeleteVolume, und ec2:DescribeVolumes für das Löschen von Volumes bei.

Wenn Sie die Rolle löschen oder ändern, bevor Sie Aufgaben mit angehängten EBS Amazon-Volumes beenden, bleiben die Aufgaben hängen DEPROVISIONING und die zugehörigen EBS Amazon-Volumes können nicht gelöscht werden. Amazon versucht in regelmäßigen Abständen ECS automatisch erneut, die Aufgabe zu beenden und das Volume zu löschen, bis die erforderlichen Berechtigungen wiederhergestellt sind. Sie können den Status einer Aufgabe als Anlage und den Grund für den zugehörigen Status einsehen, indem Sie den DescribeTasksAPI

Nachdem Sie die Datei erstellt haben, müssen Sie Ihrem Benutzer die Erlaubnis erteilen, die Rolle an Amazon weiterzugebenECS.

Erlaubnis, die Infrastrukturrolle an Amazon weiterzugeben ECS

Um eine ECS IAM Infrastrukturrolle verwenden zu können, müssen Sie Ihrem Benutzer die Erlaubnis erteilen, die Rolle an Amazon weiterzugebenECS. Ordnen Sie Ihrem Benutzer die folgende iam:PassRole Berechtigung zu. Ersetzen ecsInfrastructureRole mit dem Namen der Infrastrukturrolle, die Sie erstellt haben.


{
    "Version": "2012-10-17",
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Weitere Informationen zu Benutzerberechtigungen iam:Passrole und deren Aktualisierung finden Sie unter Gewähren von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst und Ändern von IAM Benutzerberechtigungen im AWS Identity and Access Management Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Amazon ECS IAM Anywhere-Rolle

CodeDeploy IAMRolle