Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
ECSIAMAmazon-Container-Instance-Rolle
ECSAmazon-Container-Instances, einschließlich Amazon- EC2 und externer Instances, führen den ECS Amazon-Container-Agenten aus und benötigen eine IAM Rolle, damit der Service weiß, dass der Agent Ihnen gehört. Bevor Sie Container-Instances starten und sie in einem Cluster registrieren, müssen Sie eine IAM Rolle erstellen, die Ihre Container-Instances verwenden können. Die Rolle wird in dem Konto erstellt, mit dem Sie sich bei der Konsole anmelden oder die AWS CLI Befehle ausführen.
Wichtig
Wenn Sie externe Instances in Ihrem Cluster registrieren, erfordert die IAM Rolle, die Sie verwenden, auch Systems Manager Manager-Berechtigungen. Weitere Informationen finden Sie unter Amazon ECS IAM Anywhere-Rolle.
Amazon ECS stellt die AmazonEC2ContainerServiceforEC2Role
verwaltete IAM Richtlinie bereit, die die Berechtigungen enthält, die für die Nutzung des gesamten ECS Amazon-Funktionsumfangs erforderlich sind. Diese verwaltete Richtlinie kann einer IAM Rolle zugewiesen und Ihren Container-Instances zugeordnet werden. Alternativ können Sie die verwaltete Richtlinie als Leitfaden verwenden, wenn Sie eine benutzerdefinierte Richtlinie verwenden möchten. Die Container-Instance-Rolle bietet die erforderlichen Berechtigungen, damit der ECS Amazon-Container-Agent und der Docker-Daemon in Ihrem Namen aufrufen AWS APIs können. Für weitere Informationen über die verwaltete Richtlinie siehe Amazon EC2ContainerServiceforEC2Role.
Amazon ECS unterstützt das Starten von Container-Instances mit erhöhter ENI Dichte mithilfe unterstützter EC2 Amazon-Instance-Typen. Wenn Sie diese Funktion verwenden, empfehlen wir Ihnen, zwei Container-Instance-Rollen zu erstellen. Aktivieren Sie die awsvpcTrunking
Kontoeinstellung für eine Rolle und verwenden Sie diese Rolle für Aufgaben, die ENI Trunking erfordern. Informationen zur awsvpcTrunking
Kontoeinstellung finden Sie unterGreifen Sie mit den Kontoeinstellungen auf ECS Amazon-Funktionen zu.
Erstellen Sie die Container-Instance-Rolle
Wichtig
Wenn Sie externe Instances in Ihrem Cluster registrieren, finden Sie weitere Informationen unter Amazon ECS IAM Anywhere-Rolle.
Sie können die Rolle manuell erstellen und die verwaltete IAM Richtlinie für Container-Instances anhängen, ECS damit Amazon Berechtigungen für future Funktionen und Verbesserungen hinzufügen kann, sobald diese eingeführt werden. Gehen Sie wie folgt vor, um die verwaltete IAM Richtlinie bei Bedarf anzuhängen.
Nachdem Sie die Rolle erstellt haben, fügen Sie der Rolle zusätzliche Berechtigungen für die folgenden Funktionen hinzu.
Funktion |
Zusätzliche Berechtigungen |
---|---|
Amazon ECR hat das Container-Image |
|
Lassen Sie CloudWatch Logs Container-Instances überwachen | |
Hosten Sie Konfigurationsdateien in einem Amazon S3 S3-Bucket |
ECRAmazon-Berechtigungen
Die ECS Amazon-Container-Instance-Rolle, die Sie mit Ihren Container-Instances verwenden, muss über die folgenden IAM Richtlinienberechtigungen für Amazon verfügenECR.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" } ] }
Wenn Sie die verwaltete Richtlinie AmazonEC2ContainerServiceforEC2Role
für die Container-Instances nutzen, weist die Rolle die erforderlichen Berechtigungen auf. Um zu überprüfen, ob Ihre Rolle Amazon unterstütztECR, siehe Amazon ECS Container Instance IAM Role im Amazon Elastic Container Service Developer Guide.
Amazon S3 S3-Lesezugriff
Das Speichern von Konfigurationsinformationen in einem privaten Bucket in Amazon S3 und die Gewährung von Lesezugriff auf Ihre IAM Container-Instance-Rolle ist eine sichere und bequeme Möglichkeit, die Container-Instance-Konfiguration beim Start zu ermöglichen. Sie können eine Kopie Ihrer ecs.config
Datei in einem privaten Bucket speichern, EC2 Amazon-Benutzerdaten zur Installation verwenden AWS CLI und dann Ihre Konfigurationsinformationen zum /etc/ecs/ecs.config
Start der Instance kopieren.
Weitere Informationen dazu, wie Sie eine Datei ecs.config
erstellen, sie in Amazon S3 speichern und Instances mit dieser Konfiguration starten, finden Sie unter Speichern der ECS Amazon-Container-Instance-Konfiguration in Amazon S3.
Sie können den folgenden AWS CLI Befehl verwenden, um Amazon S3 nur Lesezugriff für Ihre Container-Instance-Rolle zu gewähren. Ersetzen ecsInstanceRole
mit dem Namen der Rolle, die Sie erstellt haben.
aws iam attach-role-policy \ --role-name
ecsInstanceRole
\ --policy-arn arn:aws::iam::aws:policy/AmazonS3ReadOnlyAccess
Sie können die IAM Konsole auch verwenden, um Ihrer Rolle Amazon S3 S3-Lesezugriff (AmazonS3ReadOnlyAccess
) hinzuzufügen. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Ändern einer Richtlinie für Rollenberechtigungen (Konsole).
Berechtigungen für Container-Instances überwachen
Bevor Ihre Container-Instances Protokolldaten an CloudWatch Logs senden können, müssen Sie eine IAM Richtlinie erstellen, die es Ihren Container-Instances erlaubt, die CloudWatch Logs zu verwendenAPIs, und dann müssen Sie diese Richtlinie anhängenecsInstanceRole
.