# Amazon ECS マネージドインスタンスのインスタンスプロファイル
<a name="managed-instances-instance-profile"></a>

インスタンスプロファイルは、1 つの IAM ロールのみを保持し、Amazon ECS マネージドインスタンスがそのロールを安全に引き受けることを許可する IAM コンテナです。インスタンスプロファイルには、クラスターにインスタンスを登録し、ECS サービスと通信するために ECS エージェントが引き受けるインスタンスロールが含まれています。

**重要**  
AWS マネージドインフラストラクチャポリシーで Amazon ECS マネージドインスタンスを使用している場合、インスタンスプロファイルには `ecsInstanceRole` という名前を付ける必要があります。インフラストラクチャロールにカスタムポリシーを使用している場合、インスタンスプロファイルに代替名を付けることができます。

## 信頼ポリシーでロールを作成する
<a name="create-instance-role"></a>

すべての *[ユーザー入力]* は、お客様の情報で置き換えてください。

1. IAM ロールに使用する信頼ポリシーが含まれている `ecsInstanceRole-trust-policy.json` という名前のファイルを作成します。ファイルには次の内容が含まれます。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": { "Service": "ec2.amazonaws.com"},
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. 前のステップで作成した信頼ポリシーを使用して、`ecsInstanceRole` という名前のロールを作成するには、次の AWS CLI コマンドを使用します。

   ```
   aws iam create-role \
         --role-name ecsInstanceRole \
         --assume-role-policy-document file://ecsInstanceRole-trust-policy.json
   ```

1. AWS 管理 `AmazonECSInstanceRolePolicyForManagedInstances` ポリシー `ecsInstanceRole` をロールにアタッチします。

   ```
   aws iam attach-role-policy \
         --role-name ecsInstanceRole \
         --policy-arn arn:aws:iam::aws:policy/AmazonECSInstanceRolePolicyForManagedInstances
   ```
**注記**  
その代わりにアクセスの最小特権を適用し、独自のアクセス許可を指定する場合は、次のアクセス権限を追加して、Amazon ECS マネージドインスタンスのタスク関連の問題のトラブルシューティングに役立てることができます。  
`ecs:StartTelemetrySession`
`ecs:PutSystemLogEvents`

IAM コンソールの**[カスタム信頼ポリシー]**ワークフローを使用してロールを作成することもできます。詳細については、「*IAM ユーザーガイド*」の「[カスタム信頼ポリシーを使用してロールを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)」を参照してください。

ファイルを作成したら、Amazon ECS にロールを渡すためのアクセス許可をユーザーに付与する必要があります。

## AWS CLI を使用してインスタンスプロファイルを作成する
<a name="create-instance-profile"></a>

ロールを作成したら、AWS CLI を使用してインスタンスプロファイルを作成します。

```
aws iam create-instance-profile --instance-profile-name ecsInstanceRole 
```

次のように、インスタンスプロファイルにロールを追加します。

```
aws iam add-role-to-instance-profile \
   --instance-profile-name ecsInstanceRole \
   --role-name ecsInstanceRole
```

プロファイルが正常に作成されたことを確認します。

```
aws iam get-instance-profile --instance-profile-name ecsInstanceRole 
```