Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# IAM-Rolle für die Amazon-ECS-Infrastruktur
<a name="infrastructure_IAM_role"></a>

Eine IAM-Infrastrukturrolle von Amazon ECS ermöglicht es Amazon ECS, die Infrastruktur-Ressourcen in Ihren Clustern in Ihrem Namen zu verwalten. Diese Rolle wird verwendet, wenn:
+ Sie Amazon-EBS-Volumes an Ihre Amazon-ECS-Aufgaben mit dem Starttyp Fargate oder EC2 anhängen. Die Infrastrukturrolle ist die Rolle, mit der Amazon ECS die Amazon-EBS-Volumes für Ihre Aufgaben verwalten kann.

  Sie können die `AmazonECSInfrastructureRolePolicyForVolumes`-verwaltete Richtlinie verwenden.
+ Sie möchten Transport Layer Security (TLS) verwenden, um den Datenverkehr zwischen Ihren Services von Amazon ECS Service Connect zu verschlüsseln.

  Sie können die `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`-verwaltete Richtlinie verwenden.
+ Sie möchten Zielgruppen für Amazon VPC Lattice erstellen.

  Sie können die `AmazonECSInfrastructureRolePolicyForVpcLattice`-verwaltete Richtlinie verwenden.
+ Sie möchten Amazon ECS Managed Instances in Ihren Amazon-ECS-Clustern verwenden. Die Infrastrukturrolle ermöglicht es Amazon ECS, den Lebenszyklus verwalteter Instances zu verwalten.

  Sie können die `AmazonECSInfrastructureRolePolicyForManagedInstances`-verwaltete Richtlinie verwenden.
+ Sie möchten den Expressmodus verwenden. Die Infrastrukturrolle ermöglicht Amazon ECS die Bereitstellung und Verwaltung der für Expressmodus-Services erforderlichen Infrastrukturkomponenten, einschließlich Lastenausgleich, Sicherheitsgruppen, SSL-Zertifikate und Auto Scaling-Konfigurationen.

  Sie können die `AmazonECSInfrastructureRoleforExpressGatewayServices`-verwaltete Richtlinie verwenden.

 Wenn Amazon ECS diese Rolle übernimmt, um in Ihrem Namen Aktionen auszuführen, werden die Ereignisse in AWS CloudTrail sichtbar. Wenn Amazon ECS die Rolle zur Verwaltung von Amazon EBS-Volumes verwendet, die an Ihre Aufgaben angehängt sind, `roleSessionName` wird `ECSTaskVolumesForEBS` das CloudTrail Protokoll gespeichert. Wenn die Rolle verwendet wird, um den Verkehr zwischen Ihren Service Connect-Diensten zu verschlüsseln, `roleSessionName` wird `ECSServiceConnectForTLS` das CloudTrail Protokoll gespeichert. Wenn die Rolle verwendet wird, um Zielgruppen für VPC Lattice zu erstellen, `roleSessionName` wird das CloudTrail Protokoll verwendet. `ECSNetworkingWithVPCLattice` Wenn die Rolle zur Verwaltung von Amazon ECS Managed Instances verwendet wird, `roleSessionName` wird das CloudTrail Protokoll gespeichert`ECSManagedInstancesForCompute`. Sie können diesen Namen verwenden, um nach Ereignissen in der CloudTrail Konsole zu suchen, indem Sie nach dem **Benutzernamen** filtern.

Amazon ECS stellt verwaltete Richtlinien bereit, die die erforderlichen Berechtigungen für Volume-Anhänge, TLS, VPC Lattice und verwaltete Instances enthalten. Weitere Informationen finden Sie unter [Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html), [Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html), [Amazon ECSInfrastructure RolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html) ECSInfrastructureRolePolicyForManagedInstances, [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html) und [Amazon ECSInfrastructure RoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html) im *AWS Managed Policy Reference Guide*. 

## Erstellen der Amazon-ECS-Infrastrukturrolle
<a name="create-infrastructure-role"></a>

Ersetzen Sie alles *user input* durch Ihre eigenen Informationen.

1. Erstellen Sie eine Datei namens `ecs-infrastructure-trust-policy.json`, die die Vertrauensrichtlinie enthält, die für die IAM-Rolle verwendet werden soll. Die Datei sollte Folgendes enthalten:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	  
     "Statement": [ 
       {
         "Sid": "AllowAccessToECSForInfrastructureManagement", 
         "Effect": "Allow", 
         "Principal": {
           "Service": "ecs.amazonaws.com" 
         }, 
         "Action": "sts:AssumeRole" 
       } 
     ] 
   }
   ```

------

1. Verwenden Sie den folgenden AWS CLI Befehl, um eine Rolle zu erstellen, die `ecsInfrastructureRole` mithilfe der Vertrauensrichtlinie benannt wird, die Sie im vorherigen Schritt erstellt haben.

   ```
   aws iam create-role \
         --role-name ecsInfrastructureRole \
         --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
   ```

1. Hängen Sie je nach Anwendungsfall die verwaltete Richtlinie an die `ecsInfrastructureRole` Rolle an.
   + Um Amazon EBS-Volumes an Ihre Amazon ECS-Startaufgaben vom Typ Fargate oder EC2 anzuhängen, fügen Sie die `AmazonECSInfrastructureRolePolicyForVolumes` verwaltete Richtlinie bei.
   + Um Transport Layer Security (TLS) zur Verschlüsselung des Datenverkehrs zwischen Ihren Amazon ECS Service Connect-Services zu verwenden, fügen Sie die `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` verwaltete Richtlinie bei.
   + Um Amazon VPC Lattice-Zielgruppen zu erstellen, fügen Sie die `AmazonECSInfrastructureRolePolicyForVpcLattice` verwaltete Richtlinie bei.
   + Sie möchten Amazon ECS Managed Instances in Ihren Amazon ECS-Clustern verwenden, fügen Sie die `AmazonECSInfrastructureRolePolicyForManagedInstances` verwaltete Richtlinie bei.

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
   ```

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
   ```

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForManagedInstances
   ```

Sie können die Rolle auch mithilfe des Workflows für **benutzerdefinierte Vertrauensrichtlinien** der IAM-Konsole erstellen. Weitere Informationen finden Sie unter [Erstellen einer Rolle mit benutzerdefinierten Vertrauensrichtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) im *IAM-Benutzerhandbuch*.

**Wichtig**  
Wenn die Infrastrukturrolle von Amazon ECS zur Verwaltung von Amazon-EBS-Volumes verwendet wird, die an Ihre Aufgaben angehängt sind, stellen Sie Folgendes sicher, bevor Sie Aufgaben anhalten, die Amazon-EBS-Volumes verwenden.  
Die Rolle wird nicht gelöscht.
Die Vertrauensrichtlinie für die Rolle wurde nicht geändert, um den Amazon-ECS-Zugriff zu entfernen (`ecs.amazonaws.com`).
Die verwaltete Richtlinie `AmazonECSInfrastructureRolePolicyForVolumes` wird nicht entfernt. Wenn Sie die Berechtigungen der Rolle ändern müssen, behalten Sie mindestens `ec2:DetachVolume`. `ec2:DeleteVolume` und `ec2:DescribeVolumes` für das Löschen von Volumes bei.
Wenn Sie die Rolle löschen oder ändern, bevor Sie Aufgaben mit angehängten Amazon-EBS-Volumes anhalten, bleiben die Aufgaben in `DEPROVISIONING` hängen und die zugehörigen Amazon-EBS-Volumes können nicht gelöscht werden. Amazon ECS versucht in regelmäßigen Abständen automatisch erneut, die Aufgabe anzuhalten und das Volume zu löschen, bis die erforderlichen Berechtigungen wiederhergestellt sind. Mithilfe der [DescribeTasks](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeTasks.html)API können Sie den Status des Volumens der Zuordnung einer Aufgabe und den Grund für den zugehörigen Status einsehen.

Wenn Sie die Datei erstellt haben, müssen Sie Ihrem Benutzer die Berechtigung erteilen, die Rolle an Amazon ECS zu übergeben.

## Berechtigung zur Weitergabe der Infrastrukturrolle an Amazon ECS
<a name="pass_infrastructure_role_to_service"></a>

Um eine ECS-Infrastruktur-IAM-Rolle zu verwenden, müssen Sie Ihrem Benutzer die Berechtigung erteilen, die Rolle an Amazon ECS zu übergeben. Fügen Sie Ihrem Benutzer die folgende `iam:PassRole`-Berechtigungen an: *ecsInfrastructureRole*Ersetzen Sie ihn durch den Namen der Infrastrukturrolle, die Sie erstellt haben.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}
```

------

Weitere Informationen zu Benutzerberechtigungen `iam:Passrole` und deren Aktualisierung finden Sie unter [Gewähren von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) und [Ändern der Berechtigungen für einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) im *AWS Identity and Access Management Benutzerhandbuch*.