Peran IAM Amazon ECS Anywhere - Amazon Elastic Container Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran IAM Amazon ECS Anywhere

Saat Anda mendaftarkan server lokal atau mesin virtual (VM) ke klaster Anda, server atau VM memerlukan peran IAM untuk berkomunikasi dengannya. AWS APIs Anda hanya perlu membuat peran IAM ini sekali untuk setiap AWS akun. Namun, peran IAM ini harus dikaitkan dengan setiap server atau VM yang Anda daftarkan ke cluster. Peran ini adalah ECSAnywhereRole. Anda dapat membuat peran ini secara manual. Atau, Amazon ECS dapat membuat peran atas nama Anda saat Anda mendaftarkan instans eksternal di AWS Management Console. Anda dapat menggunakan pencarian konsol IAM untuk mencari ecsAnywhereRole dan melihat apakah akun Anda sudah memiliki peran tersebut. Untuk informasi selengkapnya, lihat pencarian konsol IAM di panduan pengguna IAM.

AWS menyediakan dua kebijakan IAM terkelola yang dapat digunakan saat membuat peran IAM ECS Anywhere, dan kebijakan. AmazonSSMManagedInstanceCore AmazonEC2ContainerServiceforEC2Role Kebijakan AmazonEC2ContainerServiceforEC2Role meliputi izin yang menyediakan lebih banyak akses daripada yang Anda butuhkan. Oleh karena itu, dengan bergantung pada kasus penggunaan khusus Anda, kami sarankan supaya Anda membuat kebijakan kustom yang hanya menambahkan izin dari kebijakan yang Anda perlukan di dalamnya. Untuk informasi lebih lanjut, lihat Peran IAM instance wadah Amazon ECS.

Peran IAM eksekusi tugas memberikan izin agen penampung Amazon ECS untuk melakukan panggilan AWS API atas nama Anda. Ketika peran IAM eksekusi tugas digunakan, itu harus ditentukan dalam definisi tugas Anda. Untuk informasi selengkapnya, lihat Peran IAM eksekusi tugas Amazon ECS.

Peran pelaksanaan tugas diperlukan jika salah satu syarat berikut berlaku:

  • Anda mengirim log kontainer ke CloudWatch Log menggunakan driver awslogs log.

  • Definisi tugas Anda menentukan gambar kontainer yang di-host di repositori pribadi Amazon ECR. Namun, jika ECSAnywhereRole peran yang terkait dengan instans eksternal Anda juga menyertakan izin yang diperlukan untuk menarik gambar dari Amazon ECR, maka peran eksekusi tugas Anda tidak perlu menyertakannya.

Membuat peran Amazon ECS Anywhere

Ganti semua user input dengan informasi Anda sendiri.

  1. Buat file lokal bernama ssm-trust-policy.json dengan kebijakan kepercayaan berikut.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Service": [ "ssm.amazonaws.com" ]}, "Action": "sts:AssumeRole" } }
  2. Buat peran dan lampirkan kebijakan kepercayaan dengan menggunakan AWS CLI perintah berikut.

    aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json
  3. Lampirkan kebijakan AWS terkelola dengan menggunakan perintah berikut.

    aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

Anda juga dapat menggunakan alur kerja kebijakan kepercayaan kustom IAM untuk membuat peran. Untuk informasi selengkapnya, lihat Membuat peran menggunakan kebijakan kepercayaan khusus (konsol) di Panduan Pengguna IAM.