Peran instans Amazon ECS - AWS Batch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran instans Amazon ECS

AWS Batchlingkungan komputasi diisi dengan instans kontainer Amazon ECS. Mereka menjalankan agen kontainer Amazon ECS secara lokal. Agen kontainer Amazon ECS membuat panggilan ke berbagai operasi API AWS atas nama Anda. Oleh karena itu, instans kontainer yang menjalankan agen memerlukan kebijakan dan IAM role untuk layanan ini untuk mengenali bahwa agen tersebut merupakan milik Anda. Anda harus membuat peran IAM dan profil instance untuk instance container yang akan digunakan saat diluncurkan. Jika tidak, Anda tidak dapat membuat lingkungan komputasi dan meluncurkan instans kontainer ke dalamnya. Persyaratan ini berlaku untuk instans kontainer yang diluncurkan dengan atau tanpa AMI yang dioptimalkan untuk Amazon ECS yang disediakan oleh Amazon. Untuk informasi lebih lanjut, lihat IAM role instans kontainer Amazon ECS dalam Panduan Developer Amazon Elastic Container Service.

Peran instans dan profil instans Amazon ECS secara otomatis dibuat untuk Anda di konsol pengalaman penjalanan pertama kali. Namun, Anda dapat mengikuti langkah-langkah ini untuk memeriksa apakah akun Anda sudah memiliki peran instans Amazon ECS dan profil instans. Langkah-langkah berikut juga mencakup cara melampirkan kebijakan IAM terkelola.

Untuk memeriksa ecsInstanceRole di dalam konsol IAM

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran.

  3. Cari daftar peran untuk ecsInstanceRole. Jika peran tidak ada, gunakan langkah-langkah berikut untuk membuat peran.

    1. Pilih Buat Peran.

    2. Untuk jenis entitas Tepercaya, pilih Layanan AWS.

    3. Untuk kasus penggunaan umum, pilih EC2.

    4. Pilih Berikutnya.

    5. Untuk kebijakan Izin, cari ContainerServiceforAmazonec2 EC2role.

    6. Pilih kotak centang di sebelah Amazonec2 ContainerServicefor EC2role, lalu pilih Berikutnya.

    7. Untuk Role Name (Nama Peran), ketik ecsInstanceRole dan pilih Create Role (Buat Peran).

      catatan

      Jika Anda menggunakan AWS Management Console untuk membuat peran Amazon EC2, konsol akan membuat profil instans dengan nama yang sama dengan peran.

Atau, Anda dapat menggunakan AWS CLI untuk membuat peran ecsInstanceRole IAM. Contoh berikut membuat peran IAM dengan kebijakan kepercayaan dan kebijakan AWS terkelola.

Untuk membuat IAM role dan profil instans (AWS CLI)

  1. Buat kebijakan kepercayaan berikut dan simpan dalam file teks yang diberi namaecsInstanceRole-role-trust-policy.json.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": { "Service": "ec2.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Gunakan perintah create-role untuk membuat peran. ecsInstanceRole Tentukan lokasi file kebijakan kepercayaan dalam assume-role-policy-document parameter.

    $ aws iam create-role \
    --role-name ecsInstanceRole \
    --assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json

    Berikut ini adalah contoh respons.

    {
    "Role": {
         "Path": "/",
         "RoleName: "ecsInstanceRole",
         "RoleId": "AROAT46P5RDIY4EXAMPLE",
         "Arn": "arn:aws:iam::123456789012:role/ecsInstanceRole".
        "CreateDate": "2022-12-12T23:46:37.247Z",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Service: "ec2.amazonaws.com"
                    }
                    "Action": "sts:AssumeRole",
                 }
              ]
          }
        }

  3. Gunakan create-instance-profileperintah untuk membuat profil instance yang diberi namaecsInstanceRole.

    catatan

    Anda perlu membuat peran dan profil instance sebagai tindakan terpisah di AWS API AWS CLI dan API. 

    $ aws iam create-instance-profile --instance-profile-name ecsInstanceRole

    Berikut ini adalah contoh respons.

    {
    "InstanceProfile": {
        "Path": "/",
        "InstanceProfileName": "ecsInstanceRole",
        "InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
        "Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
        "CreateDate": "2022-06-30T23:53:34.093Z",
        "Roles": [],    }
}

  4. Gunakan perintah add-role-to-instance-profile untuk menambahkan ecsInstanceRole peran ke profil ecsInstanceRole instance.

    aws iam add-role-to-instance-profile \
    --role-name ecsInstanceRole --instance-profile-name ecsInstanceRole

  5. Gunakan attach-role-policyperintah untuk melampirkan kebijakan AmazonEC2ContainerServiceforEC2Role AWS terkelola ke ecsInstanceRole peran.

    $ aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
    --role-name ecsInstanceRole