Creazione del EventBridge ruolo Collegamento di una policy al ruolo ecsEventsRole

Ruolo EventBridge IAM di Amazon ECS

Prima di poter utilizzare le attività pianificate di Amazon ECS con EventBridge regole e obiettivi, il EventBridge servizio necessita delle autorizzazioni per eseguire le attività di Amazon ECS per tuo conto. Queste autorizzazioni vengono fornite dal ruolo IAM di EventBridge (ecsEventsRole).

Di seguito viene mostrata la policy AmazonEC2ContainerServiceEventsRole.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ecs:RunTask"],
            "Resource": ["*"]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["*"],
            "Condition": {
                "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ecs:TagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecs:CreateAction": ["RunTask"]
                }
            }
        }
    ]
}

Se le tue attività pianificate richiedono l'uso del ruolo di esecuzione dell'attività, di un ruolo di attività o dell'override di un ruolo dell'attività, devi aggiungere iam:PassRole le autorizzazioni per ogni ruolo di esecuzione dell'attività, ruolo dell'attività o sostituzione del ruolo dell'attività al ruolo IAM. EventBridge Per ulteriori informazioni sul ruolo di esecuzione delle attività, consulta Ruolo IAM di esecuzione di attività Amazon ECS.

Nota

Specifica l'ARN completo del ruolo di esecuzione delle attività o della sostituzione del ruolo attività.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

Puoi scegliere di lasciare che AWS Management Console crei il EventBridge ruolo automaticamente quando configuri un'attività pianificata. Per ulteriori informazioni, consulta Utilizzo di Amazon EventBridge Scheduler per pianificare le attività di Amazon ECS .

Creazione del EventBridge ruolo

Sostituisci tutto user input con le tue informazioni.

Crea un file denominato eventbridge-trust-policy.json contenente la policy di attendibilità da utilizzare per il ruolo IAM. Il file deve contenere il testo seguente:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Utilizza il comando seguente per creare un ruolo IAM denominato ecsEventsRole utilizzando la policy di fiducia creata nel passaggio precedente.
```
aws iam create-role \
      --role-name ecsEventsRole \
      --assume-role-policy-document file://eventbridge-trust-policy.json
```

Associa il AWS gestore AmazonEC2ContainerServiceEventsRole al ecsEventsRole ruolo utilizzando il comando seguente.


aws iam attach-role-policy \
      --role-name ecsEventsRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceEventsRole

Puoi anche utilizzare la Custom Trust Policy workflow (https://console.aws.amazon.com/iam/) della console IAM per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) nella Guida per l'utente IAM.

Collegamento di una policy al ruolo `ecsEventsRole`

È possibile utilizzare le seguenti procedure per aggiungere le autorizzazioni per il ruolo di esecuzione dell'attività al ruolo EventBridge IAM.

AWS Management Console

Come utilizzare l'editor di policy JSON per creare una policy

Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione a sinistra, seleziona Policies (Policy).

Se è la prima volta che selezioni Policy, verrà visualizzata la pagina Benvenuto nelle policy gestite. Seleziona Inizia.
Nella parte superiore della pagina, scegli Crea policy.
Nella sezione Editor di policy, scegli l'opzione JSON.

Inserisci il documento di policy JSON seguente:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

Scegli Next (Successivo).

Nota
È possibile alternare le opzioni dell'editor Visivo e JSON in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona Successivo nell'editor Visivo, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta Modifica della struttura delle policy nella Guida per l'utente di IAM.
Nella pagina Rivedi e crea, inserisci un valore in Nome policy e Descrizione (facoltativo) per la policy in fase di creazione. Rivedi Autorizzazioni definite in questa policy per visualizzare le autorizzazioni concesse dalla policy.
Seleziona Crea policy per salvare la nuova policy.

Dopo aver creato la policy, associa la policy al EventBridge ruolo. Per informazioni su come allegare la politica al ruolo, consulta Aggiornare le autorizzazioni per un ruolo nella Guida per l'AWS Identity and Access Management utente.

AWS CLI

Sostituisci tutto user input con le tue informazioni.

Crea un file denominato ev-iam-passrole.json, con il seguente contenuto:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

Usa il seguente AWS CLI comando per creare la policy IAM utilizzando il file di documento della policy JSON.


aws iam create-policy \
      --policy-name eventsTaskExecutionPolicy \
      --policy-document file://ev-iam-passrole.json

Recupera l'ARN della policy IAM che hai creato utilizzando il seguente comando.


aws iam list-policies --scope Local --query 'Policies[?PolicyName==`eventsTaskExecutionPolicy`].Arn'

Usa il comando seguente per collegare la policy al ruolo EventBridge IAM utilizzando la policy ARN.


aws iam attach-role-policy \
      --role-name ecsEventsRole \
      --policy-arn arn:aws:iam:111122223333:aws:policy/eventsTaskExecutionPolicy

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

CodeDeploy Ruolo IAM

Autorizzazioni necessarie per la console Amazon ECS