Uso de roles vinculados al servicio para Amazon ECS
Amazon Elastic Container Service utiliza roles vinculados al servicio de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon ECS. El rol vinculado al servicio está predefinido por Amazon ECS e incluye todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado al servicio simplifica la configuración de Amazon ECS porque ya no tendrá que agregar manualmente los permisos requeridos. Amazon ECS define los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo Amazon ECS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Roles vinculados a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Permisos de roles vinculados al servicio para Amazon ECS
Amazon ECS usa el rol vinculado al servicio denominado AWSServiceRoleForECS.
El rol vinculado al servicio AWSServiceRoleForECS depende de los siguientes servicios para asumir el rol:
-
ecs.amazonaws.com
La política de permisos de rol denominada AmazonECSServiceRolePolicy permite a Amazon ECS llevar a cabo las siguientes acciones en los recursos especificados:
-
Acción: al utilizar el modo de red
awsvpcpara las tareas de Amazon ECS, este administra el ciclo de vida de las interfaces de red elásticas asociadas a la tarea. Esto también incluye las etiquetas que Amazon ECS agrega a sus interfaces de red elástica. -
Acción: al utilizar un equilibrador de carga con su servicio de Amazon ECS, este administra el registro y la anulación del registro de los recursos con el equilibrador de carga.
-
Acción: al utilizar la detección de servicios de Amazon ECS, este administra los recursos de AWS Cloud Map y Route 53 necesarios para que la detección de servicios funcione.
-
Acción: al utilizar el escalado automático de servicios de Amazon ECS, este administra los recursos de escalado automático necesarios.
-
Acción: Amazon ECS crea y administra alarmas y flujos de registro de CloudWatch que ayudan a la supervisión de sus recursos de Amazon ECS.
-
Acción: al utilizar Amazon ECS Exec, Amazon ECS administra los permisos necesarios para iniciar sesiones de Amazon ECS Exec en sus tareas.
-
Acción: al utilizar Amazon ECS Service Connect, Amazon ECS administra los recursos de AWS Cloud Map necesarios para utilizar la función.
-
Acción: al utilizar proveedores de capacidad de Amazon ECS, este servicio administra los permisos necesarios para modificar el grupo de escalado automático y sus instancias de Amazon EC2.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado al servicio para Amazon ECS
En la mayoría de los casos, no es necesario crear manualmente roles vinculados a servicios. Cuando crea un clúster o crea o actualiza un servicio en la AWS Management Console, la AWS CLI, o la API de AWS, Amazon ECS crea el rol vinculado al servicio. Si no ve el rol AWSServiceRoleForECS después de crear un clúster, lleve a cabo lo siguiente para solucionar el problema:
-
Verifique y configure los permisos para permitir a Amazon ECS crear, editar o eliminar un rol vinculado a un servicio en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
-
Reintente la operación de creación del clúster o cree manualmente el rol vinculado a servicios.
Puede utilizar la consola de IAM para crear el rol vinculado al servicio AWSServiceRoleForECS. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio
ecs.amazonaws.com. Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario de IAM.
importante
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un clúster o crea o actualiza un servicio, Amazon ECS vuelve a crear el rol vinculado al servicio.
Si elimina este rol vinculado al servicio, puede utilizar el mismo proceso de IAM para volver a crear el rol.
Edición de un rol vinculado al servicio para Amazon ECS
Amazon ECS no permite editar el rol vinculado al servicio AWSServiceRoleForECS. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Actualizar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado al servicio para Amazon ECS
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el servicio de Amazon ECS utiliza el rol al intentar eliminar los recursos, se podría producir un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.
Para comprobar si el rol vinculado a servicio tiene una sesión activa
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, elija Roles y seleccione el nombre AWSServiceRoleForECS (no la casilla de verificación).
-
En la página Summary, elija Access Advisor y revise la actividad reciente del rol vinculado a servicio.
nota
Si no está seguro de si Amazon ECS utiliza el rol AWSServiceRoleForECS, puede intentar eliminar el rol para comprobarlo. Si el servicio utiliza el rol, este no podrá eliminarse y podrá ver las regiones en las que se utiliza. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a servicios.
Para eliminar los recursos de Amazon ECS que utiliza el rol vinculado al servicio AWSServiceRoleForECS
Debe eliminar todos los clústeres de Amazon ECS de todas las regiones de AWS para poder eliminar el rol AWSServiceRoleForECS.
-
Reduzca los servicios de Amazon ECS hasta el recuento deseado de 0 en todas las regiones y, a continuación, elimine los servicios. Para obtener más información, consulte Actualización de un servicio de Amazon ECS mediante la consola y Eliminación de un servicio de Amazon ECS mediante la consola.
-
Fuerce la cancelación del registro de todas las instancias de contenedor de todos los clústeres de todas las regiones. Para obtener más información, consulte Anulación del registro de una instancia de contenedor de Amazon ECS.
-
Elimine todos los clústeres de Amazon ECS de todas las regiones. Para obtener más información, consulte Eliminación de un clúster de Amazon ECS.
Eliminación manual del rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForECS. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados al servicio de Amazon ECS
Amazon ECS admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Puntos de enlace y regiones de AWS.
