Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran IAM Amazon ECS Anywhere
Saat Anda mendaftarkan server lokal atau mesin virtual (VM) ke klaster Anda, server atau VM memerlukan peran IAM untuk berkomunikasi dengannya. AWS APIs Anda hanya perlu membuat peran IAM ini sekali untuk setiap AWS akun. Namun, peran IAM ini harus dikaitkan dengan setiap server atau VM yang Anda daftarkan ke cluster. Peran ini adalah ECSAnywhereRole
. Anda dapat membuat peran ini secara manual. Atau, Amazon ECS dapat membuat peran atas nama Anda saat Anda mendaftarkan instans eksternal di AWS Management Console. Anda dapat menggunakan pencarian konsol IAM untuk mencari ecsAnywhereRole
dan melihat apakah akun Anda sudah memiliki peran tersebut. Untuk informasi selengkapnya, lihat pencarian konsol IAM di panduan pengguna IAM.
AWS menyediakan dua kebijakan IAM terkelola yang dapat digunakan saat membuat peran IAM ECS Anywhere, dan kebijakan. AmazonSSMManagedInstanceCore
AmazonEC2ContainerServiceforEC2Role
Kebijakan AmazonEC2ContainerServiceforEC2Role
meliputi izin yang menyediakan lebih banyak akses daripada yang Anda butuhkan. Oleh karena itu, dengan bergantung pada kasus penggunaan khusus Anda, kami sarankan supaya Anda membuat kebijakan kustom yang hanya menambahkan izin dari kebijakan yang Anda perlukan di dalamnya. Untuk informasi lebih lanjut, lihat Peran IAM instance wadah Amazon ECS.
Peran IAM eksekusi tugas memberikan izin agen penampung Amazon ECS untuk melakukan panggilan AWS API atas nama Anda. Ketika peran IAM eksekusi tugas digunakan, itu harus ditentukan dalam definisi tugas Anda. Untuk informasi selengkapnya, lihat Peran IAM eksekusi tugas Amazon ECS.
Peran pelaksanaan tugas diperlukan jika salah satu syarat berikut berlaku:
-
Anda mengirim log kontainer ke CloudWatch Log menggunakan driver
awslogs
log. -
Definisi tugas Anda menentukan gambar kontainer yang di-host di repositori pribadi Amazon ECR. Namun, jika
ECSAnywhereRole
peran yang terkait dengan instans eksternal Anda juga menyertakan izin yang diperlukan untuk menarik gambar dari Amazon ECR, maka peran eksekusi tugas Anda tidak perlu menyertakannya.
Membuat peran Amazon ECS Anywhere
Ganti semua user input
dengan informasi Anda sendiri.
-
Buat file lokal bernama
ssm-trust-policy.json
dengan kebijakan kepercayaan berikut.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Service": [ "ssm.amazonaws.com" ]}, "Action": "sts:AssumeRole" } }
-
Buat peran dan lampirkan kebijakan kepercayaan dengan menggunakan AWS CLI perintah berikut.
aws iam create-role --role-name
ecsAnywhereRole
--assume-role-policy-document file://ssm-trust-policy.json -
Lampirkan kebijakan AWS terkelola dengan menggunakan perintah berikut.
aws iam attach-role-policy --role-name
ecsAnywhereRole
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore aws iam attach-role-policy --role-nameecsAnywhereRole
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role
Anda juga dapat menggunakan alur kerja kebijakan kepercayaan kustom IAM untuk membuat peran. Untuk informasi selengkapnya, lihat Membuat peran menggunakan kebijakan kepercayaan khusus (konsol) di Panduan Pengguna IAM.