Creare il EventBridge ruolo Collegamento di una policy al ruolo ecsEventsRole

ECS EventBridge IAMRuolo di Amazon

Prima di poter utilizzare le attività ECS pianificate di Amazon con EventBridge regole e obiettivi, il EventBridge servizio necessita delle autorizzazioni per eseguire ECS attività Amazon per tuo conto. Queste autorizzazioni sono fornite dal EventBridge IAM ruolo ()ecsEventsRole.

Di seguito viene mostrata la policy AmazonEC2ContainerServiceEventsRole.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ecs:RunTask"],
            "Resource": ["*"]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["*"],
            "Condition": {
                "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ecs:TagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecs:CreateAction": ["RunTask"]
                }
            }
        }
    ]
}

Se le attività pianificate richiedono l'uso del ruolo di esecuzione dell'attività, di un ruolo dell'attività o dell'eccezione del ruolo dell'attività, è necessario aggiungere iam:PassRole le autorizzazioni per ogni ruolo di esecuzione dell'attività, ruolo dell'attività o sostituzione del ruolo dell'attività al ruolo. EventBridge IAM Per ulteriori informazioni sul ruolo di esecuzione delle attività, consulta IAMRuolo di esecuzione delle ECS attività di Amazon.

Nota

Specificate il ruolo completo ARN di esecuzione dell'attività o la sostituzione del ruolo dell'attività.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

Puoi scegliere di lasciare che AWS Management Console crei il EventBridge ruolo per te quando configuri un'attività pianificata. Per ulteriori informazioni, consulta Utilizzo di Amazon EventBridge Scheduler per pianificare le attività di Amazon ECS .

Creare il EventBridge ruolo

Sostituisci tutto user input con le tue informazioni.

Crea un file denominato eventbridge-trust-policy.json che contenga la politica di fiducia da utilizzare per il IAM ruolo. Il file deve contenere il testo seguente:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Utilizzate il comando seguente per creare un IAM ruolo denominato ecsEventsRole utilizzando la politica di fiducia creata nel passaggio precedente.
```
aws iam create-role \
      --role-name ecsEventsRole \
      --assume-role-policy-document file://eventbridge-policy.json
```

Associa il AWS gestore AmazonEC2ContainerServiceEventsRole al ecsEventsRole ruolo utilizzando il comando seguente.


aws iam attach-role-policy \
      --role-name ecsEventsRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceEventsRole

Puoi anche utilizzare il workflow della politica di fiducia personalizzata (https://console.aws.amazon.com/iam/) della IAM console per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando criteri di fiducia personalizzati (console) nella Guida per l'IAMutente.

Collegamento di una policy al ruolo `ecsEventsRole`

È possibile utilizzare le seguenti procedure per aggiungere al ruolo le autorizzazioni per il ruolo di esecuzione dell' EventBridge IAMattività.

AWS Management Console

Per utilizzare l'editor delle JSON politiche per creare una politica

Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione a sinistra, seleziona Policies (Policy).

Se è la prima volta che selezioni Policy, verrà visualizzata la pagina Benvenuto nelle policy gestite. Seleziona Inizia.
Nella parte superiore della pagina, scegli Crea policy.
Nella sezione Policy editor, scegli l'JSONopzione.

Inserisci il seguente documento JSON di policy:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

Scegli Next (Successivo).

Nota
È possibile passare dall'opzione Visual a quella dell'JSONeditor in qualsiasi momento. Tuttavia, se apporti modifiche o scegli Avanti nell'editor visuale, IAM potresti ristrutturare la tua politica per ottimizzarla per l'editor visuale. Per ulteriori informazioni, consulta la sezione Ristrutturazione delle politiche nella Guida per l'IAMutente.
Nella pagina Rivedi e crea, immettere un valore in Nome policy e Descrizione (facoltativo) per la policy in fase di creazione. Rivedi Autorizzazioni definite in questa policy per visualizzare le autorizzazioni concesse dalla policy.
Seleziona Crea policy per salvare la nuova policy.

Dopo aver creato la policy, associa la policy al EventBridge ruolo. Per informazioni su come allegare la politica al ruolo, consulta Modifica della politica di autorizzazione di un ruolo (console) nella Guida per l'AWS Identity and Access Management utente.

AWS CLI

Sostituisci tutto user input con le tue informazioni.

Crea un file denominato ev-iam-passrole.json, con il seguente contenuto:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

Utilizzare il seguente AWS CLI comando per creare la IAM politica utilizzando il file del documento della JSON politica.


aws iam create-policy \
      --policy-name eventsTaskExecutionPolicy \
      --policy-document file://ev-iam-passrole.json

Recupera ARN la IAM politica che hai creato utilizzando il seguente comando.


aws iam list-policies --scope Local --query 'Policies[?PolicyName==`eventsTaskExecutionPolicy`].Arn'

Usa il comando seguente per allegare la policy al EventBridge IAM ruolo utilizzando la policyARN.


aws iam attach-role-policy \
      --role-name ecsEventsRole \
      --policy-arn arn:aws:iam:111122223333:aws:policy/eventsTaskExecutionPolicy

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

CodeDeploy IAMRuolo

Autorizzazioni richieste per la console Amazon ECS