AWS Batch 実行 IAM ロール - AWS Batch
実行 IAM ロールの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Batch 実行 IAM ロール

実行ロールは、Amazon ECS コンテナと AWS Fargate エージェントに、ユーザーに代わって AWS API コールを実行するアクセス許可を付与します。

注記

実行ロールは Amazon ECS コンテナエージェントバージョン 1.16.0 以降でサポートされています。

実行 IAM ロールは、タスクの要件に応じて必要です。さまざまな目的とサービスの実行ロールを、アカウントに複数関連付けることができます。

注記

詳細については、 ユーザーガイドのAmazon ECS インスタンスロールを参照してくださいAmazon ECS インスタンスロール。サービスロールの詳細については、が IAM と AWS Batch 連携する方法を参照してください。

Amazon ECS は、AmazonECSTaskExecutionRolePolicyマネージドポリシーを提供します。は、という管理ポリシーを提供します。このポリシーには、上記の一般的ユースケースで必要なアクセス許可が含まれています。以下に示す特殊なユースケースでは、タスク実行ロールにインラインポリシーを追加することが必要な場合があります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecr:GetAuthorizationToken",
        "ecr:BatchCheckLayerAvailability",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchGetImage",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

次の手順を使用してアカウントに既に実行ロールが存在するか確認し、必要に応じてマネージド IAM ポリシーをアタッチすることができます。

IAM コンソールで ecsTaskExecutionRole を確認するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで Roles] (ロール) を選択します。

  3. ロールのリストで ecsTaskExecutionRole を検索します。ロールが検出できない場合は、実行 IAM ロールの作成 を参照してください。ロールが存在する場合は、そのロールを選択して、アタッチされているポリシーを表示します。

  4. アクセス許可タブで、AmazonECSTaskExecutionRolePolicy 管理ポリシーがロールにアタッチされていることを確認します。ポリシーがアタッチされている場合、 実行ロールは適切に設定されています。そうでない場合、次のサブステップに従ってポリシーをアタッチします。

    1. アクセス許可を追加ポリシーをアタッチ の順に選択します。

    2. AmazonECSTaskExecutionRolePolicy を検索します。

    3. AmazonECSTaskExecutionRolePolicy ポリシーの左側にあるチェックボックスをオンにし、ポリシーのアタッチ を選択します。

  5. Trust relationships (信頼関係) を選択します。

  6. 信頼関係に以下のポリシーが含まれていることを確認します。信頼関係が以下のポリシーと一致する場合、ロールは正しく設定されます。信頼関係の編集 を選択して、次のポリシーを追加し、信頼ポリシーの更新 を選択します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ecs-tasks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

実行 IAM ロールの作成

アカウントにまだ実行ロールがない場合は、次のステップに従ってロールを作成します。

ecsTaskExecutionRole IAM ロールを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで Roles (ロール) を選択します。

  3. ロールの作成 を選択します。

  4. 信頼できるエンティティタイプ で、を選択します。

  5. ユースケースの選択]で、[EC2]を選択します。次に、もう一度 EC2 を選択します。

  6. Next] (次へ) をクリックします。

  7. アクセス許可ポリシー についてはAmazonECSTaskExecutionRolePolicy を検索します。

  8. AmazonECSTaskExecutionRolePolicy ポリシーの左側にあるチェックボックスを選択し、次へ を選択します。

  9. ロール名ecsTaskExecutionRoleと入力し、ロールの作成 を選択します。