本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon ECS 受管執行個體執行個體設定檔
執行個體設定檔是 IAM 容器,只擁有一個 IAM 角色,並允許 Amazon ECS 受管執行個體安全地擔任該角色。執行個體設定檔包含執行個體角色,ECS 代理程式會擔任此角色來向叢集註冊執行個體,並與 ECS 服務通訊。
**重要**
如果您使用 Amazon ECS AWS受管執行個體搭配受管基礎設施政策,執行個體描述檔必須命名為 `ecsInstanceRole`。如果您使用基礎結構角色的自訂政策,執行個體設定檔可以採用不同名稱。
## 使用信任政策建立角色
將所有 *user input* 取代為自己的資訊。
1. 建立名為 `ecsInstanceRole-trust-policy.json` 的檔案,其中包含用於 IAM 角色的信任政策。檔案應包含以下內容:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 使用以下 AWS CLI 命令,`ecsInstanceRole`使用您在上一個步驟中建立的信任政策來建立名為 的角色。
```
aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-trust-policy.json
```
1. 將 AWS 受管`AmazonECSInstanceRolePolicyForManagedInstances`政策連接至`ecsInstanceRole`角色。
```
aws iam attach-role-policy \
--role-name ecsInstanceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonECSInstanceRolePolicyForManagedInstances
```
**注意**
如果您選擇套用最低權限許可,並改為指定自己的許可,您可以新增下列許可,以協助疑難排解 Amazon ECS 受管執行個體的任務相關問題:
`ecs:StartTelemetrySession`
`ecs:PutSystemLogEvents`
您也可以透過 IAM 主控台的**自訂信任政策**工作流程來建立角色。如需詳細資訊,請參閱 *IAM User Guide* 中的 [Creating a role using custom trust policies (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)。
建立檔案之後,您必須授予使用者將角色傳遞至 Amazon ECS 的許可。
## 使用 建立執行個體描述檔 AWS CLI
建立角色之後,請使用 AWS CLI建立執行個體設定檔:
```
aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
將角色新增至執行個體設定檔:
```
aws iam add-role-to-instance-profile \
--instance-profile-name ecsInstanceRole \
--role-name ecsInstanceRole
```
驗證設定檔是否建立成功:
```
aws iam get-instance-profile --instance-profile-name ecsInstanceRole
```