IAMPeran Amazon ECS Anywhere - Amazon Elastic Container Service
Membuat peran Amazon ECS Anywhere

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMPeran Amazon ECS Anywhere

Saat Anda mendaftarkan server lokal atau mesin virtual (VM) ke klaster Anda, server atau VM memerlukan IAM peran untuk berkomunikasi dengannya. AWS APIs Anda hanya perlu membuat IAM peran ini sekali untuk setiap AWS akun. Namun, IAM peran ini harus dikaitkan dengan setiap server atau VM yang Anda daftarkan ke cluster. Peran ini adalah ECSAnywhereRole. Anda dapat membuat peran ini secara manual. Atau, Amazon ECS dapat membuat peran atas nama Anda saat Anda mendaftarkan instans eksternal di AWS Management Console. Anda dapat menggunakan pencarian IAM konsol untuk mencari ecsAnywhereRole dan melihat apakah akun Anda sudah memiliki peran tersebut. Untuk informasi selengkapnya, lihat penelusuran IAM konsol di panduan IAM pengguna.

AWS menyediakan dua IAM kebijakan terkelola yang dapat digunakan saat membuat IAM peran ECS Anywhere, the AmazonSSMManagedInstanceCore dan AmazonEC2ContainerServiceforEC2Role policy. Kebijakan AmazonEC2ContainerServiceforEC2Role meliputi izin yang menyediakan lebih banyak akses daripada yang Anda butuhkan. Oleh karena itu, dengan bergantung pada kasus penggunaan khusus Anda, kami sarankan supaya Anda membuat kebijakan kustom yang hanya menambahkan izin dari kebijakan yang Anda perlukan di dalamnya. Untuk informasi lebih lanjut, lihat IAMPeran contoh ECS wadah Amazon.

IAMPeran eksekusi tugas memberikan izin agen ECS penampung Amazon untuk melakukan AWS API panggilan atas nama Anda. Ketika IAM peran eksekusi tugas digunakan, itu harus ditentukan dalam definisi tugas Anda. Untuk informasi selengkapnya, lihat IAMPeran eksekusi ECS tugas Amazon.

Peran pelaksanaan tugas diperlukan jika salah satu syarat berikut berlaku:

  • Anda mengirim log kontainer ke CloudWatch Log menggunakan driver awslogs log.

  • Definisi tugas Anda menentukan gambar kontainer yang di-host di repositori ECR pribadi Amazon. Namun, jika ECSAnywhereRole peran yang terkait dengan instans eksternal Anda juga menyertakan izin yang diperlukan untuk menarik gambar dari Amazon, ECR maka peran eksekusi tugas Anda tidak perlu menyertakannya.

Membuat peran Amazon ECS Anywhere

Ganti semua user input dengan informasi Anda sendiri.

  1. Buat file lokal bernama ssm-trust-policy.json dengan kebijakan kepercayaan berikut.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {"Service": [
      "ssm.amazonaws.com"
    ]},
    "Action": "sts:AssumeRole"
  }
}

  2. Buat peran dan lampirkan kebijakan kepercayaan dengan menggunakan AWS CLI perintah berikut.

    aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json

  3. Lampirkan kebijakan AWS terkelola dengan menggunakan perintah berikut.

    aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

Anda juga dapat menggunakan alur kerja kebijakan kepercayaan IAM khusus untuk membuat peran. Untuk informasi selengkapnya, lihat Membuat peran menggunakan kebijakan kepercayaan khusus (konsol) di Panduan IAM Pengguna.