Amazon ECS Anywhere IAM 역할
온프레미스 서버 또는 가상 머신(VM)을 클러스터에 등록하는 경우 서버 또는 가상 머신이 AWS API와 통신하려면 IAM 역할이 필요합니다. 각 AWS 계정에 대해 한 번만 이 IAM 역할을 생성하면 됩니다. 그러나 이 IAM 역할은 클러스터에 등록한 각 서버 또는 VM과 연결되어야 합니다. 이 역할은 ECSAnywhereRole입니다. 이 역할을 수동으로 만들 수 있습니다. 또는 AWS Management Console에 외부 인스턴스를 등록할 때 Amazon ECS가 사용자를 대신하여 역할을 생성할 수 있습니다. IAM 콘솔 검색을 사용하여 ecsAnywhereRole을 검색하고 계정에 이미 역할이 있는지 확인할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 IAM 콘솔 검색을 참조하세요.
AWS는 ECS Anywhere IAM 역할을 생성할 때 사용할 수 있는 두 개의 관리형 IAM 정책인 AmazonSSMManagedInstanceCore 및 AmazonEC2ContainerServiceforEC2Role 정책을 제공합니다. AmazonEC2ContainerServiceforEC2Role 정책에는 필요한 것보다 더 많은 액세스 권한을 제공할 가능성이 있는 권한이 포함되어 있습니다. 따라서 특정 사용 사례에 따라 해당 정책에서 필요한 권한만 추가하는 사용자 지정 정책을 만드는 것이 좋습니다. 자세한 내용은 Amazon ECS 컨테이너 인스턴스 IAM 역할 섹션을 참조하세요.
태스크 실행 IAM 역할은 Amazon ECS 컨테이너 에이전트에 사용자를 대신하여 AWS API 호출을 수행할 권한을 부여합니다. 태스크 실행 IAM 역할을 사용하는 경우 태스크 정의에 IAM 역할을 지정해야 합니다. 자세한 정보는 Amazon ECS 태스크 실행 IAM 역할 섹션을 참조하세요.
다음 조건 중 하나라도 적용되는 경우 태스크 실행 역할이 필요합니다.
-
awslogs로그 드라이버를 사용해 CloudWatch Logs에 컨테이너 로그를 보냅니다. -
태스크 정의는 Amazon ECR 프라이빗 리포지토리에서 호스팅되는 컨테이너 이미지를 지정합니다. 그러나 외부 인스턴스와 연결된
ECSAnywhereRole역할에는 Amazon ECR에서 이미지를 가져오는 데 필요한 권한도 포함되어 있으므로 작업 실행 역할에 이미지를 포함할 필요가 없습니다.
Amazon ECS Anywhere 역할 생성
모든 사용자 입력을 사용자 정보로 바꿉니다.
-
다음 신뢰 정책을 통해 이름이
ssm-trust-policy.json인 로컬 파일을 생성합니다.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Service": [ "ssm.amazonaws.com" ]}, "Action": "sts:AssumeRole" } } -
다음 AWS CLI 명령을 사용하여 역할을 생성한 후 신뢰 정책에 연결합니다.
aws iam create-role --role-nameecsAnywhereRole--assume-role-policy-document file://ssm-trust-policy.json -
다음 명령을 사용하여 AWS 관리형 정책을 연결합니다.
aws iam attach-role-policy --role-nameecsAnywhereRole--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore aws iam attach-role-policy --role-nameecsAnywhereRole--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role
IAM 사용자 지정 신뢰 정책 워크플로를 사용하여 역할을 생성할 수도 있습니다. 지침은 IAM 사용자 설명서의 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔)을 참조하세요.
