Ruolo IAM dell'infrastruttura Amazon ECS - Amazon Elastic Container Service
Creazione del ruolo dell'infrastruttura Amazon ECS Autorizzazione a trasferire il ruolo di infrastruttura ad Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo IAM dell'infrastruttura Amazon ECS

Un ruolo IAM dell'infrastruttura Amazon ECS consente ad Amazon ECS di gestire le risorse dell'infrastruttura nei cluster per tuo conto e viene utilizzato quando:

  • Vuoi collegare volumi Amazon EBS alle tue attività Amazon ECS di tipo Fargate o EC2. Il ruolo di infrastruttura consente ad Amazon ECS di gestire i volumi Amazon EBS per le tue attività.

  • Desideri utilizzare Transport Layer Security (TLS) per crittografare il traffico tra i tuoi servizi Amazon ECS Service Connect.

Quando Amazon ECS assume questo ruolo per intraprendere azioni per tuo conto, gli eventi saranno visibili in. AWS CloudTrail Se Amazon ECS utilizza il ruolo per gestire i volumi Amazon EBS collegati alle tue attività, il CloudTrail log roleSessionNamefolefole sarà. ECSTaskVolumesForEBS Se il ruolo viene utilizzato per crittografare il traffico tra i servizi Amazon ECS Service Connect, il CloudTrail registro roleSessionName sarà. ECSServiceConnectForTLS Puoi usare questo nome per cercare eventi nella CloudTrail console filtrando per nome utente.

Amazon ECS fornisce policy gestite che contengono le autorizzazioni necessarie per gli allegati di volume e TLS. Per ulteriori informazioni, consulta AmazonECS Volumes e InfrastructureRole PolicyFor InfrastructureRole PolicyFor ServiceConnect TransportLayer AmazonECS Security nella Managed Policy Reference Guide.AWS

Creazione del ruolo dell'infrastruttura Amazon ECS

Sostituisci tutti gli input dell'utente con le tue informazioni.

  1. Crea un file denominato ecs-infrastructure-trust-policy.json contenente la policy di attendibilità da utilizzare per il ruolo IAM. Il file deve contenere il testo seguente:

    {
  "Version": "2012-10-17", 
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Utilizzate il AWS CLI comando seguente per creare un ruolo denominato ecsInfrastructureRole utilizzando la politica di fiducia creata nel passaggio precedente.

    aws iam create-role \
      --role-name ecsInfrastructureRole \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. A seconda del caso d'uso, collega il AWS gestore AmazonECSInfrastructureRolePolicyForVolumes o la AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity policy al ecsInfrastructureRole ruolo.

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

Puoi anche utilizzare il flusso di lavoro Custom Trust Policy della console IAM per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) nella Guida per l'utente IAM.

Importante

Se il ruolo dell'infrastruttura ECS viene utilizzato da Amazon ECS per gestire i volumi Amazon EBS collegati alle tue attività, verifica quanto segue prima di interrompere le attività che utilizzano volumi Amazon EBS.

  • Il ruolo non viene eliminato.

  • La policy di fiducia per il ruolo non viene modificata per rimuovere Amazon ECS access (ecs.amazonaws.com).

  • La policy gestita AmazonECSInfrastructureRolePolicyForVolumes non viene rimossa. Se devi modificare le autorizzazioni del ruolo, conservale almeno ec2:DetachVolume e ec2:DescribeVolumes per l'eliminazione di un volume. ec2:DeleteVolume

L'eliminazione o la modifica del ruolo prima di interrompere le attività con volumi Amazon EBS collegati comporterà il blocco delle attività e la mancata eliminazione DEPROVISIONING dei volumi Amazon EBS associati. Amazon ECS riproverà automaticamente a intervalli regolari per interrompere l'attività ed eliminare il volume fino al ripristino delle autorizzazioni necessarie. Puoi visualizzare lo stato degli allegati al volume di un'attività e il motivo dello stato associato utilizzando l'API. DescribeTasks

Dopo aver creato il file, devi concedere all'utente l'autorizzazione a passare il ruolo ad Amazon ECS.

Autorizzazione a trasferire il ruolo di infrastruttura ad Amazon ECS

Per utilizzare un ruolo IAM dell'infrastruttura ECS, devi concedere all'utente l'autorizzazione a passare il ruolo ad Amazon ECS. Allega la seguente iam:PassRole autorizzazione al tuo utente. Sostituisci ecs InfrastructureRole con il nome del ruolo di infrastruttura che hai creato.

{
    "Version": "2012-10-17",
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Per ulteriori informazioni iam:Passrole e aggiornamenti delle autorizzazioni per il tuo utente, consulta Concessione a un utente delle autorizzazioni per passare un ruolo a un AWS servizio e Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente.AWS Identity and Access Management