本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Batch 执行IAM角色
执行角色授予 Amazon ECS 容器和 AWS Fargate 代理代表您 AWS API拨打电话的权限。
注意
Amazon ECS 容器代理版本 1.16.0 及更高版本支持执行角色。
执行IAM角色是必需的,具体取决于您的任务要求。您可以将多个执行角色用于与您的账户关联的服务不同目的。
注意
有关 Amazon ECS 实例角色的信息,请参阅Amazon ECS 实例角色。有关服务角色的更多信息,请参阅AWS Batch 如何使用 IAM。
亚马逊ECS提供AmazonECSTaskExecutionRolePolicy
托管政策。该策略包含上述常见使用案例所需的权限。对于特殊使用案例,可能需要向您的执行角色添加内联策略,这些策略概述如下。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
您可以使用以下过程来检查您的账户是否已具有执行角色,并在需要时附加托管IAM策略。
在IAM控制台ecsTaskExecutionRole
中查看
打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择角色。
-
在角色列表中搜索
ecsTaskExecutionRole
。如果找不到角色,请参阅创建执行IAM角色。如果找到该角色,请选择角色以查看附加的策略。 -
在 “权限” 选项卡上,验证 A mazonECSTask ExecutionRolePolicy 托管策略是否已附加到该角色。如果附加该策略,则将正确配置 执行角色。否则,请执行以下子步骤来附加策略。
-
选择添加权限,然后选择附加策略。
-
搜索 A mazonECSTask ExecutionRolePolicy。
-
选中 A mazonECSTask ExecutionRolePolicy 策略左侧的复选框并选择附加策略。
-
-
选择 Trust Relationships(信任关系)。
-
验证信任关系是否包含以下策略。如果信任关系符合以下策略,则该角色的配置正确。如果信任关系不匹配,请选择编辑信任策略,输入以下策略,然后选择更新策略。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs-tasks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
创建执行IAM角色
如果您的账户尚未具有执行角色,请使用以下步骤创建角色。
创建 ecsTaskExecutionRole
IAM 角色
打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择角色。
-
选择 Create role(创建角色)。
-
对于 可信实体类型,选择 AWS 服务。
-
对于服务或用例,请选择EC2。然后EC2再次选择。
-
选择下一步。
-
对于权限策略,请搜索 A mazonECSTask ExecutionRolePolicy。
-
选中 A mazonECSTask ExecutionRolePolicy 策略左侧的复选框,然后选择下一步。
-
对于角色名称,输入
ecsTaskExecutionRole
,然后选择创建角色。