Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Peran IAM Infrastruktur Amazon ECS
<a name="infrastructure_IAM_role"></a>

Peran IAM infrastruktur Amazon ECS memungkinkan Amazon ECS mengelola sumber daya infrastruktur di klaster Anda atas nama Anda, dan digunakan saat:
+ Anda ingin melampirkan volume Amazon EBS ke tugas Amazon ECS jenis peluncuran Fargate atau EC2 Anda. Peran infrastruktur memungkinkan Amazon ECS mengelola volume Amazon EBS untuk tugas Anda.

  Anda dapat menggunakan kebijakan `AmazonECSInfrastructureRolePolicyForVolumes` terkelola.
+ Anda ingin menggunakan Transport Layer Security (TLS) untuk mengenkripsi lalu lintas antara layanan Amazon ECS Service Connect Anda.

  Anda dapat menggunakan kebijakan `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` terkelola.
+ Anda ingin membuat grup target Amazon VPC Lattice.

  Anda dapat menggunakan kebijakan `AmazonECSInfrastructureRolePolicyForVpcLattice` terkelola.
+ Anda ingin menggunakan Instans Terkelola Amazon ECS di kluster Amazon ECS Anda. Peran infrastruktur memungkinkan Amazon ECS mengelola siklus hidup instans terkelola.

  Anda dapat menggunakan kebijakan `AmazonECSInfrastructureRolePolicyForManagedInstances` terkelola.
+ Anda ingin menggunakan Mode Ekspres. Peran infrastruktur memungkinkan Amazon ECS untuk menyediakan dan mengelola komponen infrastruktur yang diperlukan untuk layanan Mode Ekspres, termasuk load balancing, grup keamanan, sertifikat SSL, dan konfigurasi penskalaan otomatis.

  Anda dapat menggunakan kebijakan `AmazonECSInfrastructureRoleforExpressGatewayServices` terkelola.

 Ketika Amazon ECS mengasumsikan peran ini untuk mengambil tindakan atas nama Anda, acara akan terlihat di. AWS CloudTrail Jika Amazon ECS menggunakan peran untuk mengelola volume Amazon EBS yang dilampirkan ke tugas Anda, CloudTrail lognya `roleSessionName` akan menjadi. `ECSTaskVolumesForEBS` Jika peran digunakan untuk mengenkripsi lalu lintas antara layanan Service Connect Anda, CloudTrail log `roleSessionName` akan menjadi`ECSServiceConnectForTLS`. Jika peran digunakan untuk membuat grup target untuk VPC Lattice, CloudTrail log `roleSessionName` akan menjadi. `ECSNetworkingWithVPCLattice` Jika peran digunakan untuk mengelola Instans Terkelola Amazon ECS, CloudTrail log `roleSessionName` akan menjadi. `ECSManagedInstancesForCompute` Anda dapat menggunakan nama ini untuk mencari peristiwa di CloudTrail konsol dengan memfilter **nama Pengguna**.

Amazon ECS menyediakan kebijakan terkelola yang berisi izin yang diperlukan untuk lampiran volume, TLS, Kisi VPC, dan instans terkelola. Untuk informasi selengkapnya lihat, [Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html), [Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html), [Amazon ECSInfrastructure RolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html), [Amazon ECSInfrastructure RolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html), dan [Amazon ECSInfrastructure RoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html) di *Panduan Referensi Kebijakan AWS Terkelola*. 

## Menciptakan peran infrastruktur Amazon ECS
<a name="create-infrastructure-role"></a>

Ganti semua *user input* dengan informasi Anda sendiri.

1. Buat file bernama `ecs-infrastructure-trust-policy.json` yang berisi kebijakan kepercayaan yang akan digunakan untuk peran IAM. File tersebut harus berisi hal berikut:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	  
     "Statement": [ 
       {
         "Sid": "AllowAccessToECSForInfrastructureManagement", 
         "Effect": "Allow", 
         "Principal": {
           "Service": "ecs.amazonaws.com" 
         }, 
         "Action": "sts:AssumeRole" 
       } 
     ] 
   }
   ```

------

1. Gunakan AWS CLI perintah berikut untuk membuat peran `ecsInfrastructureRole` bernama menggunakan kebijakan kepercayaan yang Anda buat di langkah sebelumnya.

   ```
   aws iam create-role \
         --role-name ecsInfrastructureRole \
         --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
   ```

1. Bergantung pada kasus penggunaan Anda, lampirkan kebijakan terkelola ke `ecsInfrastructureRole` peran.
   + Untuk melampirkan volume Amazon EBS ke tugas Amazon ECS jenis peluncuran Fargate atau EC2, lampirkan kebijakan terkelola. `AmazonECSInfrastructureRolePolicyForVolumes`
   + Untuk menggunakan Transport Layer Security (TLS) untuk mengenkripsi lalu lintas antara layanan Amazon ECS Service Connect, lampirkan kebijakan `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` terkelola.
   + Untuk membuat grup target Amazon VPC Lattice, lampirkan kebijakan terkelola. `AmazonECSInfrastructureRolePolicyForVpcLattice`
   + Anda ingin menggunakan Instans Terkelola Amazon ECS di kluster Amazon ECS, lampirkan kebijakan terkelola. `AmazonECSInfrastructureRolePolicyForManagedInstances`

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
   ```

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
   ```

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForManagedInstances
   ```

Anda juga dapat menggunakan alur kerja **kebijakan kepercayaan kustom** konsol IAM untuk membuat peran. Untuk informasi selengkapnya, lihat [Membuat peran menggunakan kebijakan kepercayaan khusus (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan Pengguna IAM*.

**penting**  
Jika peran infrastruktur digunakan oleh Amazon ECS untuk mengelola volume Amazon EBS yang dilampirkan ke tugas Anda, pastikan hal berikut sebelum Anda menghentikan tugas yang menggunakan volume Amazon EBS.  
Peran tidak dihapus.
Kebijakan kepercayaan untuk peran tersebut tidak dimodifikasi untuk menghapus akses Amazon ECS (`ecs.amazonaws.com`).
Kebijakan terkelola `AmazonECSInfrastructureRolePolicyForVolumes` tidak dihapus. Jika Anda harus mengubah izin peran, setidaknya pertahankan `ec2:DetachVolume``ec2:DeleteVolume`, dan `ec2:DescribeVolumes` untuk penghapusan volume.
Menghapus atau memodifikasi peran sebelum menghentikan tugas dengan volume Amazon EBS terlampir akan mengakibatkan tugas macet `DEPROVISIONING` dan volume Amazon EBS terkait gagal dihapus. Amazon ECS akan secara otomatis mencoba lagi secara berkala untuk menghentikan tugas dan menghapus volume hingga izin yang diperlukan dipulihkan. Anda dapat melihat status lampiran volume tugas dan alasan status terkait dengan menggunakan [DescribeTasks](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeTasks.html)API.

Setelah Anda membuat file, Anda harus memberikan izin pengguna Anda untuk meneruskan peran ke Amazon ECS.

## Izin untuk meneruskan peran infrastruktur ke Amazon ECS
<a name="pass_infrastructure_role_to_service"></a>

Untuk menggunakan peran IAM infrastruktur ECS, Anda harus memberikan izin kepada pengguna untuk meneruskan peran tersebut ke Amazon ECS. Lampirkan `iam:PassRole` izin berikut ke pengguna Anda. Ganti *ecsInfrastructureRole* dengan nama peran infrastruktur yang Anda buat.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}
```

------

*Untuk informasi selengkapnya tentang `iam:Passrole` dan memperbarui izin untuk pengguna Anda, lihat [Memberikan izin pengguna untuk meneruskan peran ke AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dan [Mengubah izin untuk pengguna IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).AWS Identity and Access Management *