IAMRuolo di Amazon ECS Anywhere - Amazon Elastic Container Service
Creazione del ruolo Amazon ECS Anywhere

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMRuolo di Amazon ECS Anywhere

Quando si registra un server o una macchina virtuale (VM) locale nel cluster, il server o la macchina virtuale richiede un IAM ruolo con cui comunicare. AWS APIs È necessario creare questo IAM ruolo solo una volta per ogni account. AWS Tuttavia, questo IAM ruolo deve essere associato a ogni server o macchina virtuale che si registra in un cluster. Questo ruolo è il ECSAnywhereRole. Puoi creare questo ruolo manualmente. In alternativa, Amazon ECS può creare il ruolo per tuo conto quando registri un'istanza esterna in AWS Management Console. Puoi utilizzare la ricerca IAM nella console per cercare ecsAnywhereRole e vedere se il tuo account ha già il ruolo. Per ulteriori informazioni, consulta la ricerca nella IAM console nella guida IAM per l'utente.

AWS fornisce due IAM policy gestite che possono essere utilizzate durante la creazione del IAM ruolo ECS Anywhere, le AmazonSSMManagedInstanceCore e AmazonEC2ContainerServiceforEC2Role le policy. La policy AmazonEC2ContainerServiceforEC2Role include autorizzazioni che probabilmente forniscono più accesso del necessario. Pertanto, a seconda del caso d'uso specifico, si consiglia di creare una policy personalizzata aggiungendo solo le autorizzazioni richieste da tale policy. Per ulteriori informazioni, consultare IAMRuolo dell'istanza di ECS container Amazon.

Il IAM ruolo di esecuzione delle attività concede all'agente Amazon ECS Container l'autorizzazione a effettuare AWS API chiamate per tuo conto. Quando viene utilizzato un IAM ruolo di esecuzione dell'attività, deve essere specificato nella definizione dell'attività. Per ulteriori informazioni, consulta IAMRuolo di esecuzione delle ECS attività di Amazon.

Il ruolo di esecuzione del processo è obbligatorio se si applica una delle seguenti condizioni:

  • Stai inviando i log dei contenitori a CloudWatch Logs utilizzando il driver di awslogs registro.

  • La definizione dell'attività specifica un'immagine del contenitore ospitata in un repository ECR privato Amazon. Tuttavia, se il ECSAnywhereRole ruolo associato alla tua istanza esterna include anche le autorizzazioni necessarie per estrarre immagini da Amazon, non è ECR necessario che il ruolo di esecuzione dell'attività le includa.

Creazione del ruolo Amazon ECS Anywhere

Sostituisci tutto user input con le tue informazioni.

  1. Crea un file locale denominato ssm-trust-policy.json con la seguente politica di attendibilità.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {"Service": [
      "ssm.amazonaws.com"
    ]},
    "Action": "sts:AssumeRole"
  }
}

  2. Crea il ruolo e allega la politica di fiducia utilizzando il AWS CLI comando seguente.

    aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json

  3. Allega le politiche AWS gestite utilizzando il comando seguente.

    aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

È inoltre possibile utilizzare il flusso di lavoro IAM personalizzato relativo alle politiche di fiducia per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando criteri di fiducia personalizzati (console) nella Guida per l'IAMutente.