# Rol de IAM de infraestructura de Amazon ECS para los equilibradores de carga
<a name="AmazonECSInfrastructureRolePolicyForLoadBalancers"></a>

Un rol de IAM de infraestructura de Amazon ECS para los equilibradores de carga permite a Amazon ECS administrar los recursos de los equilibradores de carga de los clústeres en su nombre y se utiliza cuando:
+ Desea utilizar implementaciones azul/verde con Amazon ECS. El rol de infraestructura permite a Amazon ECS administrar los recursos del equilibrador de carga para las implementaciones.
+ Es necesario Amazon ECS para crear, modificar o eliminar los recursos del equilibrador de carga, como los grupos de destino y los oyentes, durante las operaciones de implementación.

Cuando Amazon ECS asume este rol para tomar medidas en su nombre, los eventos estarán visibles en AWS CloudTrail. Si Amazon ECS utiliza el rol para administrar los recursos del equilibrador de carga para las implementaciones azul/verde, el registro de CloudTrail `roleSessionName` será `ECSNetworkingWithELB` o `ecs-service-scheduler`. Para usar este nombre para buscar eventos en la consola de CloudTrail, filtre por **Nombre de usuario**.

Amazon ECS proporciona una política administrada que contiene los permisos necesarios para la administración del equilibrador de carga. Para más información, consulte [AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForLoadBalancers.html) en la *Guía de referencia de políticas administradas de AWS*.

## Creación del rol de infraestructura de Amazon ECS para los equilibradores de carga
<a name="create-infrastructure-role-loadbalancers"></a>

Sustituya cada *entrada del usuario* por información propia.

1. Cree un archivo con el nombre `ecs-infrastructure-trust-policy.json`, que contenga la política de confianza que se va a utilizar para el rol de IAM. El archivo debe contener lo siguiente:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	  
     "Statement": [ 
       {
         "Sid": "AllowAccessToECSForInfrastructureManagement", 
         "Effect": "Allow", 
         "Principal": {
           "Service": "ecs.amazonaws.com" 
         }, 
         "Action": "sts:AssumeRole" 
       } 
     ] 
   }
   ```

------

1. Utilice el siguiente comando de la AWS CLI para crear un rol con el nombre `ecsInfrastructureRoleForLoadBalancers` mediante la política de confianza que creó en el paso anterior.

   ```
   aws iam create-role \
         --role-name ecsInfrastructureRoleForLoadBalancers \
         --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
   ```

1. Asocie la política `AmazonECSInfrastructureRolePolicyForLoadBalancers` administrada por AWS al rol `ecsInfrastructureRoleForLoadBalancers`.

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRoleForLoadBalancers \
         --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForLoadBalancers
   ```

También puede usar el flujo de trabajo de **Política de confianza personalizada** de la consola de IAM para crear el rol. Para obtener instrucciones, consulte [Creating a role using custom trust policies (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) en la *Guía del usuario de IAM*.

**importante**  
Si Amazon ECS utiliza el rol de infraestructura para administrar los recursos del equilibrador de carga para las implementaciones azul/verde, asegúrese de lo siguiente antes de eliminar o modificar el rol:  
El rol no se elimina mientras las implementaciones activas están en curso.
La política de confianza del rol no se modifica para eliminar el acceso a Amazon ECS (`ecs.amazonaws.com`).
La política administrada `AmazonECSInfrastructureRolePolicyForLoadBalancers` no se elimina mientras las implementaciones activas están en curso.
Si se elimina o se modifica el rol durante implementaciones azul/verde activas, pueden producirse errores de implementación y los servicios pueden quedar en un estado incoherente.

Después de crear el archivo, debe conceder a su usuario permiso para transferir el rol a Amazon ECS.

## Permiso para transferir el rol de infraestructura a Amazon ECS
<a name="pass_infrastructure_role_to_service_loadbalancers"></a>

Para utilizar un rol de IAM de infraestructura de ECS para los equilibradores de carga, debe conceder a su usuario permiso para transferir el rol a Amazon ECS. Adjunte el siguiente permiso `iam:PassRole` a su usuario. Sustituya *ecsInfrastructureRoleForLoadBalancers* por el nombre del rol de infraestructura que haya creado.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRoleForLoadBalancers"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}
```

------

Para obtener más información sobre `iam:Passrole` y la actualización de permisos de su usuario, consulte [Granting a user permissions to pass a role to an AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) y [Changing permissions for an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) en la *Guía del usuario de AWS Identity and Access Management*.