Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Batch función de IAM de ejecución
La función de ejecución otorga al contenedor y a los AWS Fargate agentes de Amazon ECS permiso para realizar llamadas a la AWS API en su nombre.
nota
El rol de ejecución de tareas es compatible con la versión 1.16.0 y posteriores del agente de contenedor de Amazon ECS.
El rol de IAM de ejecución de tareas es necesario en función de los requisitos de la tarea. Puede tener varios roles de ejecución de tareas asociados a su cuenta para distintos fines y servicios.
nota
Para obtener más información sobre el rol de instancia de Amazon ECS, consulte Función de instancia de Amazon ECS. Para obtener más información acerca de los roles de servicio, consulte ¿Cómo AWS Batch funciona con IAM.
Amazon ECS proporciona la política administrada AmazonECSTaskExecutionRolePolicy. Esta política contiene los permisos necesarios para los casos de uso comunes descritos anteriormente. Puede ser necesario agregar políticas en línea al rol de ejecución de tareas para los casos de uso especiales que se describen a continuación.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
Puede utilizar el procedimiento siguiente para comprobar si la cuenta ya dispone del rol de ejecución de tareas y para asociar la política administrada de IAM en caso necesario.
Para verificar el ecsTaskExecutionRole en la consola de IAM
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
Seleccione Roles en el panel de navegación.
-
En la lista de roles, busque
ecsTaskExecutionRole. Si no puede encontrar el rol, consulte Creación del rol de IAM de ejecución. Si el rol existe, selecciónelo para ver sus políticas asociadas. -
En la pestaña Permisos, compruebe que la política TaskExecution RolePolicy gestionada por AmazonECS esté asociada a la función. Si la política se ha asociado, el rol de ejecución de la tarea está configurado correctamente. En caso contrario, siga los pasos derivados a continuación para asociar la política.
-
Elija Agregar permisos y luego Adjuntar políticas.
-
Busque AmazonECS TaskExecution RolePolicy.
-
Marca la casilla a la izquierda de la política de AmazonECS y selecciona Adjuntar TaskExecution RolePolicy políticas.
-
-
Seleccione Trust Relationships.
-
Verifique que la relación de confianza contiene la siguiente política. Si la relación de confianza coincide con la política siguiente, el rol está configurado correctamente. Si la relación de confianza no coincide, elija Editar la política de confianza, introduzca lo siguiente y después elija Actualizar política.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs-tasks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Creación del rol de IAM de ejecución
Si su cuenta aún no tiene un rol de ejecución de tareas, siga los pasos siguientes para crear el rol.
Para crear el rol de IAM ecsTaskExecutionRole
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
Seleccione Roles en el panel de navegación.
-
Elija Crear rol.
-
En Tipo de entidad de confianza, elija Servicio de AWS.
-
En Servicio o caso de uso, elija EC2. A continuación, vuelva a elegir EC2.
-
Elija Siguiente.
-
Para ver las políticas de permisos, busca AmazonECS TaskExecution RolePolicy.
-
Seleccione la casilla de verificación situada a la izquierda de la TaskExecution RolePolicy política de AmazonECS y, a continuación, seleccione Siguiente.
-
En Nombre de rol, escriba
ecsTaskExecutionRoley luego elija Crear rol.
