ECS EventBridge IAMRôle Amazon - Amazon Elastic Container Service
Création du EventBridge rôleAttachement d'une stratégie au rôle ecsEventsRole

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

ECS EventBridge IAMRôle Amazon

Avant de pouvoir utiliser les tâches ECS planifiées Amazon avec des EventBridge règles et des cibles, le EventBridge service a besoin d'autorisations pour exécuter ECS des tâches Amazon en votre nom. Ces autorisations sont fournies par le EventBridge IAM rôle (ecsEventsRole).

La politique AmazonEC2ContainerServiceEventsRole est présentée ci-dessous.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ecs:RunTask"],
            "Resource": ["*"]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["*"],
            "Condition": {
                "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ecs:TagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecs:CreateAction": ["RunTask"]
                }
            }
        }
    ]
}

Si vos tâches planifiées nécessitent l'utilisation du rôle d'exécution de tâches, d'un rôle de tâche ou d'un remplacement de rôle de tâche, vous devez ajouter des iam:PassRole autorisations pour chaque rôle d'exécution de tâche, rôle de tâche ou remplacement de rôle de tâche au EventBridge IAM rôle de tâche. Pour plus d'informations sur le rôle d'exécution de tâche, consultez IAMRôle d'exécution des ECS tâches Amazon.

Note

Spécifiez l'intégralité ARN de votre rôle d'exécution de tâche ou de remplacement de rôle de tâche.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

Vous pouvez choisir de le laisser AWS Management Console créer le EventBridge rôle pour vous lorsque vous configurez une tâche planifiée. Pour de plus amples informations, veuillez consulter Utiliser Amazon EventBridge Scheduler pour planifier des tâches Amazon ECS .

Création du EventBridge rôle

Tout remplacer user input avec vos propres informations.

  1. Créez un fichier nommé eventbridge-trust-policy.json contenant la politique de confiance à utiliser pour le IAM rôle. Le fichier doit contenir ce qui suit :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Utilisez la commande suivante pour créer un IAM rôle nommé ecsEventsRole en utilisant la politique de confiance que vous avez créée à l'étape précédente.

    aws iam create-role \
      --role-name ecsEventsRole \
      --assume-role-policy-document file://eventbridge-policy.json

  3. Attachez le AWS AmazonEC2ContainerServiceEventsRole managé au ecsEventsRole rôle à l'aide de la commande suivante.

    aws iam attach-role-policy \
      --role-name ecsEventsRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceEventsRole

Vous pouvez également utiliser le flux de travail de politique de confiance personnalisée (https://console.aws.amazon.com/iam/) de la IAM console pour créer le rôle. Pour plus d'informations, consultez la section Création d'un rôle à l'aide de politiques de confiance personnalisées (console) dans le Guide de IAM l'utilisateur.

Attachement d'une stratégie au rôle ecsEventsRole

Vous pouvez utiliser les procédures suivantes pour ajouter des autorisations pour le rôle d'exécution des tâches au EventBridge IAM rôle.

AWS Management Console
Pour utiliser l'éditeur JSON de stratégie pour créer une stratégie

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, sélectionnez Policies (Politiques).

    Si vous sélectionnez Politiques pour la première fois, la page Bienvenue dans les politiques gérées s'affiche. Sélectionnez Mise en route.

  3. En haut de la page, sélectionnez Créer une politique.

  4. Dans la section Éditeur de politiques, choisissez l'JSONoption.

  5. Entrez le document JSON de politique suivant :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

  6. Choisissez Suivant.

    Note

    Vous pouvez basculer entre les options Visual et celles de JSONl'éditeur à tout moment. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, vous IAM pouvez restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour plus d'informations, consultez la section Restructuration des politiques dans le guide de IAM l'utilisateur.

  7. Sur la page Vérifier et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vérifiez les Autorisations définies dans cette politique pour voir les autorisations accordées par votre politique.

  8. Choisissez Create policy (Créer une politique) pour enregistrer votre nouvelle politique.

Après avoir créé la stratégie, associez-la au EventBridge rôle. Pour plus d'informations sur la façon d'associer la politique au rôle, consultez la section Modification d'une politique d'autorisations de rôle (console) dans le Guide de AWS Identity and Access Management l'utilisateur.

AWS CLI

Tout remplacer user input avec vos propres informations.

  1. Créez un fichier nommé ev-iam-passrole.json avec le contenu suivant.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

  2. Utilisez la AWS CLI commande suivante pour créer la IAM politique à l'aide du fichier du document de JSON stratégie.

    aws iam create-policy \
      --policy-name eventsTaskExecutionPolicy \
      --policy-document file://ev-iam-passrole.json

  3. Récupérez ARN la IAM politique que vous avez créée à l'aide de la commande suivante.

    aws iam list-policies --scope Local --query 'Policies[?PolicyName==`eventsTaskExecutionPolicy`].Arn'

  4. Utilisez la commande suivante pour associer la politique au EventBridge IAM rôle à l'aide de la stratégieARN.

    aws iam attach-role-policy \
      --role-name ecsEventsRole \
      --policy-arn arn:aws:iam:111122223333:aws:policy/eventsTaskExecutionPolicy