# Rol de IAM de infraestructura de Amazon ECS
<a name="infrastructure_IAM_role"></a>

Un rol de IAM de infraestructura de Amazon ECS permite a Amazon ECS administrar los recursos de infraestructura de sus clústeres en su nombre y se utiliza cuando:
+ Adjunte volúmenes de Amazon EBS a sus tareas de Amazon ECS del tipo lanzamiento de Fargate o EC2. El rol de infraestructura permite a Amazon ECS administrar los volúmenes de Amazon EBS para sus tareas.

  Puede utilizar la política administrada `AmazonECSInfrastructureRolePolicyForVolumes`.
+ Utilice la seguridad de la capa de transporte (TLS) para cifrar el tráfico entre sus servicios de Amazon ECS Service Connect.

  Puede utilizar la política administrada `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`.
+ Quiere crear grupos de destino de Amazon VPC Lattice.

  Puede utilizar la política administrada `AmazonECSInfrastructureRolePolicyForVpcLattice`.
+ Quiere utilizar instancias administradas de Amazon ECS en los clústeres de Amazon ECS. El rol de infraestructura permite a Amazon ECS administrar el ciclo de vida de las instancias administradas.

  Puede utilizar la política administrada `AmazonECSInfrastructureRolePolicyForManagedInstances`.
+ Desea utilizar el modo exprés. La infraestructura permite que Amazon ECS pueda aprovisionar y administrar los componentes de infraestructura necesarios para los servicios de modo exprés, que incluyen el equilibrio de carga, los grupos de seguridad, los certificados SSL y las configuraciones de escalado automático.

  Puede utilizar la política administrada `AmazonECSInfrastructureRoleforExpressGatewayServices`.

 Cuando Amazon ECS asume este rol para tomar medidas en su nombre, los eventos estarán visibles en AWS CloudTrail. Si Amazon ECS utiliza el rol para administrar los volúmenes de Amazon EBS adjuntos a sus tareas, el valor de `roleSessionName` del registro de CloudTrail será `ECSTaskVolumesForEBS`. Si el rol se utiliza para cifrar el tráfico entre los servicios de Service Connect, el `roleSessionName` del registro de CloudTrail será `ECSServiceConnectForTLS`. Si se usa el rol para crear grupos de destino para VPC Lattice, el elemento `roleSessionName` del registro de CloudTrail será `ECSNetworkingWithVPCLattice`. Si el rol se utiliza para gestionar instancias administradas de Amazon ECS, el registro de CloudTrail `roleSessionName` será `ECSManagedInstancesForCompute`. Para usar este nombre para buscar eventos en la consola de CloudTrail, filtre por **Nombre de usuario**.

Amazon ECS proporciona políticas administradas que contienen los permisos necesarios para adjuntar volúmenes, TLS VPC Lattice e instancias administradas. Para obtener más información, consulte [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html), [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html), [AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html), [AmazonECSInfrastructureRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html) y [AmazonECSInfrastructureRoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html) en la *Guía de referencia de políticas administradas de AWS*. 

## Creación del rol de infraestructura de Amazon ECS
<a name="create-infrastructure-role"></a>

Sustituya cada *entrada del usuario* por información propia.

1. Cree un archivo con el nombre `ecs-infrastructure-trust-policy.json`, que contenga la política de confianza que se va a utilizar para el rol de IAM. El archivo debe contener lo siguiente:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	  
     "Statement": [ 
       {
         "Sid": "AllowAccessToECSForInfrastructureManagement", 
         "Effect": "Allow", 
         "Principal": {
           "Service": "ecs.amazonaws.com" 
         }, 
         "Action": "sts:AssumeRole" 
       } 
     ] 
   }
   ```

------

1. Utilice el siguiente comando de la AWS CLI para crear un rol con el nombre `ecsInfrastructureRole` mediante la política de confianza que creó en el paso anterior.

   ```
   aws iam create-role \
         --role-name ecsInfrastructureRole \
         --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
   ```

1. Según su caso de uso, adjunte la política administrada al rol `ecsInfrastructureRole`.
   + Para adjuntar volúmenes de Amazon EBS a sus tareas de Amazon ECS del tipo lanzamiento de Fargate o EC2, adjunte la política administrada `AmazonECSInfrastructureRolePolicyForVolumes`.
   + Para utilizar la seguridad de la capa de transporte (TLS) para cifrar el tráfico entre sus servicios de Amazon ECS Service Connect, adjunte la política administrada `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`.
   + Para crear grupos de destino de Amazon VPC Lattice, adjunte la política administrada `AmazonECSInfrastructureRolePolicyForVpcLattice`.
   + Si quiere utilizar instancias administradas de Amazon ECS en los clústeres de Amazon ECS, adjunte la política administrada `AmazonECSInfrastructureRolePolicyForManagedInstances`.

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
   ```

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
   ```

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForManagedInstances
   ```

También puede usar el flujo de trabajo de **Política de confianza personalizada** de la consola de IAM para crear el rol. Para obtener instrucciones, consulte [Creating a role using custom trust policies (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) en la *Guía del usuario de IAM*.

**importante**  
Si Amazon ECS utiliza el rol de infraestructura para administrar los volúmenes de Amazon EBS asociados a sus tareas, asegúrese de lo siguiente antes de detener las tareas que utilizan volúmenes de Amazon EBS.  
El rol no se ha eliminado.
La política de confianza del rol no se modifica para eliminar el acceso a Amazon ECS (`ecs.amazonaws.com`).
La política administrada `AmazonECSInfrastructureRolePolicyForVolumes` no se ha eliminado. Si debe modificar los permisos del rol, retenga al menos `ec2:DetachVolume`, `ec2:DeleteVolume` y `ec2:DescribeVolumes` para eliminar el volumen.
Si se elimina o modifica el rol antes de detener las tareas con volúmenes de Amazon EBS adjuntos, las tareas se atascarán en `DEPROVISIONING` y los volúmenes de Amazon EBS asociados no se podrán eliminar. Amazon ECS volverá a intentarlo automáticamente a intervalos regulares para detener la tarea y eliminar el volumen hasta que se restablezcan los permisos necesarios. Puede ver el estado del adjunto del volumen de una tarea y el motivo del estado asociado mediante la API [DescribeTasks](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeTasks.html).

Después de crear el archivo, debe conceder a su usuario permiso para transferir el rol a Amazon ECS.

## Permiso para transferir el rol de infraestructura a Amazon ECS
<a name="pass_infrastructure_role_to_service"></a>

Para utilizar un rol de IAM de infraestructura de ECS, debe conceder a su usuario permiso para transferir el rol a Amazon ECS. Adjunte el siguiente permiso `iam:PassRole` a su usuario. Sustituya *ecsInstanceRole* por el nombre del rol de infraestructura que haya creado.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}
```

------

Para obtener más información sobre `iam:Passrole` y la actualización de permisos de su usuario, consulte [Granting a user permissions to pass a role to an AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) y [Changing permissions for an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) en la *Guía del usuario de AWS Identity and Access Management*.