IAMRôle Amazon ECS Anywhere

Lorsque vous enregistrez un serveur local ou une machine virtuelle (VM) dans votre cluster, le serveur ou la machine virtuelle a besoin d'un IAM rôle avec AWS APIs lequel communiquer. Vous ne devez créer ce IAM rôle qu'une seule fois pour chaque AWS compte. Toutefois, ce IAM rôle doit être associé à chaque serveur ou machine virtuelle que vous enregistrez dans un cluster. Ce rôle est le ECSAnywhereRole. Vous pouvez créer ce rôle manuellement. Amazon ECS peut également créer le rôle en votre nom lorsque vous enregistrez une instance externe dans le AWS Management Console. Vous pouvez utiliser IAM la recherche dans la console pour rechercher ecsAnywhereRole et vérifier si votre compte possède déjà le rôle. Pour plus d'informations, consultez IAMla section de recherche dans la console dans le guide de IAM l'utilisateur.

AWS fournit deux IAM politiques gérées qui peuvent être utilisées lors de la création du IAM rôle ECS Anywhere, les AmazonEC2ContainerServiceforEC2Role politiques AmazonSSMManagedInstanceCore et. La stratégie AmazonEC2ContainerServiceforEC2Role inclut des autorisations qui fournissent probablement plus d'accès que vous n'avez besoin. Par conséquent, en fonction de votre cas d'utilisation spécifique, nous vous recommandons de créer une stratégie personnalisée en ajoutant uniquement les autorisations de cette stratégie dont vous avez besoin. Pour de plus amples informations, veuillez consulter IAMRôle de l'instance de ECS conteneur Amazon.

Le IAM rôle d'exécution des tâches accorde à l'agent de ECS conteneur Amazon l'autorisation de passer AWS API des appels en votre nom. Lorsqu'un IAM rôle d'exécution de tâche est utilisé, il doit être spécifié dans votre définition de tâche. Pour de plus amples informations, veuillez consulter IAMRôle d'exécution des ECS tâches Amazon.

Le rôle d'exécution de tâche est requis si l'une des conditions suivantes s'applique :

Vous envoyez des journaux de conteneurs à CloudWatch Logs à l'aide du pilote de awslogs journal.
Votre définition de tâche spécifie une image de conteneur hébergée dans un référentiel ECR privé Amazon. Toutefois, si le ECSAnywhereRole rôle associé à votre instance externe inclut également les autorisations nécessaires pour extraire des images d'AmazonECR, votre rôle d'exécution de tâches n'a pas besoin de les inclure.

Création du rôle Amazon ECS Anywhere

Tout remplacer user input avec vos propres informations.

Créez un fichier local nommé ssm-trust-policy.json avec la politique de confiance suivante.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {"Service": [
      "ssm.amazonaws.com"
    ]},
    "Action": "sts:AssumeRole"
  }
}

Créez le rôle et associez la politique de confiance à l'aide de la AWS CLI commande suivante.


aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json

Joignez les politiques AWS gérées à l'aide de la commande suivante.


aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

Vous pouvez également utiliser le flux de travail de politique de confiance IAM personnalisé pour créer le rôle. Pour plus d'informations, consultez la section Création d'un rôle à l'aide de politiques de confiance personnalisées (console) dans le Guide de IAM l'utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

IAMRôle de l'instance de conteneur

IAMRôle en matière d'infrastructure