Ruolo dell'istanza Amazon ECS - AWS Batch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo dell'istanza Amazon ECS

AWS Batchgli ambienti di calcolo sono popolati con istanze di container Amazon ECS. Eseguono l'agente container Amazon ECS localmente. L'agente container Amazon ECS effettua chiamate a varie operazioni AWS API per tuo conto. Pertanto, le istanze di container che eseguono l'agente richiedono una politica e un ruolo IAM affinché questi servizi riconoscano che l'agente appartiene a te. È necessario creare un ruolo IAM e un profilo di istanza per le istanze del contenitore da utilizzare al momento del lancio. Altrimenti, non puoi creare un ambiente di calcolo e avviare istanze di container al suo interno. Questo requisito si applica alle istanze di container lanciate con o senza l'AMI ottimizzata Amazon ECS fornita da Amazon. Per ulteriori informazioni, consulta il ruolo IAM dell'istanza di container Amazon ECS nella Amazon Elastic Container Service Developer Guide.

Il ruolo e il profilo dell'istanza di Amazon ECS vengono creati automaticamente durante la prima esecuzione della console. Tuttavia, puoi seguire questi passaggi per verificare se il tuo account ha già il ruolo e il profilo dell'istanza Amazon ECS. I passaggi seguenti spiegano anche come allegare la policy IAM gestita.

Come verificare la presenza di ecsInstanceRole nella console IAM

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Ruoli.

  3. Cerca l'elenco di ruoli per ecsInstanceRole. Se il ruolo non esiste, utilizza i seguenti passaggi per creare il ruolo.

    1. Selezionare Crea ruolo.

    2. Per Trusted entity type (Tipo di entità attendibile), scegli Servizio AWS.

    3. Per i casi d'uso comuni, scegli EC2.

    4. Seleziona Avanti.

    5. Per le politiche di autorizzazione, cerca ContainerServiceforAmazonEC2 EC2Role.

    6. Seleziona la casella di controllo accanto a ContainerServiceforAmazonEC2 EC2Role, quindi scegli Avanti.

    7. Per Role Name (Nome ruolo), digita ecsInstanceRole, quindi scegli Create Role (Crea ruolo).

      Nota

      Se utilizzi il per AWS Management Console creare un ruolo per Amazon EC2, la console crea un profilo di istanza con lo stesso nome del ruolo.

In alternativa, puoi utilizzare il AWS CLI per creare il ruolo ecsInstanceRole IAM. L'esempio seguente crea un ruolo IAM con una policy di fiducia e una policy AWS gestita.

Come creare un ruolo e il profilo dell'istanza IAM (AWS CLI)

  1. Crea la seguente politica di fiducia e salvala in un file di testo denominatoecsInstanceRole-role-trust-policy.json.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": { "Service": "ec2.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Utilizzate il comando create-role per creare il ecsInstanceRole ruolo. Specificate la posizione del file delle politiche di fiducia nel assume-role-policy-document parametro.

    $ aws iam create-role \
    --role-name ecsInstanceRole \
    --assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json

    Di seguito è riportata una risposta di esempio.

    {
    "Role": {
         "Path": "/",
         "RoleName: "ecsInstanceRole",
         "RoleId": "AROAT46P5RDIY4EXAMPLE",
         "Arn": "arn:aws:iam::123456789012:role/ecsInstanceRole".
        "CreateDate": "2022-12-12T23:46:37.247Z",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Service: "ec2.amazonaws.com"
                    }
                    "Action": "sts:AssumeRole",
                 }
              ]
          }
        }

  3. Utilizzate il create-instance-profilecomando per creare un profilo di istanza denominatoecsInstanceRole.

    Nota

    È necessario creare ruoli e profili di istanza come azioni separate nell'AWSAPI AWS CLI and. 

    $ aws iam create-instance-profile --instance-profile-name ecsInstanceRole

    Di seguito è riportata una risposta di esempio.

    {
    "InstanceProfile": {
        "Path": "/",
        "InstanceProfileName": "ecsInstanceRole",
        "InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
        "Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
        "CreateDate": "2022-06-30T23:53:34.093Z",
        "Roles": [],    }
}

  4. Utilizzate il comando add-role-to-instance-profile per aggiungere il ecsInstanceRole ruolo al profilo dell'ecsInstanceRoleistanza.

    aws iam add-role-to-instance-profile \
    --role-name ecsInstanceRole --instance-profile-name ecsInstanceRole

  5. Utilizzare il attach-role-policycomando per allegare la politica AmazonEC2ContainerServiceforEC2Role AWS gestita al ecsInstanceRole ruolo.

    $ aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
    --role-name ecsInstanceRole