IAM-Rolle der Amazon ECS-Infrastruktur für Load Balancer - Amazon Elastic Container Service
Erstellen der Amazon ECS-Infrastrukturrolle für Load BalancerErlaubnis zur Weitergabe der Infrastrukturrolle an Amazon ECS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Rolle der Amazon ECS-Infrastruktur für Load Balancer

Eine Amazon ECS-Infrastruktur-IAM-Rolle für Load Balancer ermöglicht Amazon ECS, Load Balancer-Ressourcen in Ihren Clustern in Ihrem Namen zu verwalten. Sie wird verwendet, wenn:

  • Sie möchten blue/green Bereitstellungen mit Amazon ECS verwenden. Die Infrastrukturrolle ermöglicht es Amazon ECS, Load Balancer-Ressourcen für Ihre Bereitstellungen zu verwalten.

  • Sie benötigen Amazon ECS, um Load Balancer-Ressourcen wie Zielgruppen und Listener während der Bereitstellung zu erstellen, zu ändern oder zu löschen.

Wenn Amazon ECS diese Rolle übernimmt, um in Ihrem Namen Maßnahmen zu ergreifen, werden die Ereignisse in sichtbar sein AWS CloudTrail. Wenn Amazon ECS die Rolle zur Verwaltung von Load Balancer-Ressourcen für Ihre blauen/grünen Bereitstellungen verwendet, lautet roleSessionName das CloudTrail Protokoll oder. ECSNetworkingWithELB ecs-service-scheduler Sie können diesen Namen verwenden, um nach Ereignissen in der CloudTrail Konsole zu suchen, indem Sie nach dem Benutzernamen filtern.

Amazon ECS bietet eine verwaltete Richtlinie, die die für das Load Balancer-Management erforderlichen Berechtigungen enthält. Weitere Informationen finden Sie unter Amazon ECSInfrastructure RolePolicyForLoadBalancers im AWS Managed Policy Reference Guide.

Erstellen der Amazon ECS-Infrastrukturrolle für Load Balancer

Ersetzen Sie alles user input durch Ihre eigenen Informationen.

  1. Erstellen Sie eine Datei namens ecs-infrastructure-trust-policy.json, die die Vertrauensrichtlinie enthält, die für die IAM-Rolle verwendet werden soll. Die Datei sollte Folgendes enthalten:

    JSON
    {
  "Version": "2012-10-17", 
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Verwenden Sie den folgenden AWS CLI Befehl, um eine Rolle zu erstellen, die ecsInfrastructureRoleForLoadBalancers mithilfe der Vertrauensrichtlinie benannt wird, die Sie im vorherigen Schritt erstellt haben.

    aws iam create-role \
      --role-name ecsInfrastructureRoleForLoadBalancers \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. Hängen Sie die AWS verwaltete AmazonECSInfrastructureRolePolicyForLoadBalancers Richtlinie an die ecsInfrastructureRoleForLoadBalancers Rolle an.

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRoleForLoadBalancers \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForLoadBalancers

Sie können die Rolle auch mithilfe des Workflows für benutzerdefinierte Vertrauensrichtlinien der IAM-Konsole erstellen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

Wichtig

Wenn die Infrastrukturrolle von Amazon ECS zur Verwaltung von Load Balancer-Ressourcen für Ihre blue/green Bereitstellungen verwendet wird, stellen Sie Folgendes sicher, bevor Sie die Rolle löschen oder ändern:

  • Die Rolle wird nicht gelöscht, solange aktive Bereitstellungen ausgeführt werden.

  • Die Vertrauensrichtlinie für die Rolle wurde nicht geändert, um den Amazon ECS-Zugriff zu entfernen (ecs.amazonaws.com).

  • Die verwaltete Richtlinie wird AmazonECSInfrastructureRolePolicyForLoadBalancers nicht entfernt, solange aktive Bereitstellungen ausgeführt werden.

Das Löschen oder Ändern der Rolle während aktiver blue/green Bereitstellungen kann zu Bereitstellungsfehlern führen und dazu führen, dass Ihre Dienste in einem inkonsistenten Zustand bleiben.

Nachdem Sie die Datei erstellt haben, müssen Sie Ihrem Benutzer die Erlaubnis erteilen, die Rolle an Amazon ECS weiterzugeben.

Erlaubnis zur Weitergabe der Infrastrukturrolle an Amazon ECS

Um eine ECS-Infrastruktur-IAM-Rolle für Load Balancer zu verwenden, müssen Sie Ihrem Benutzer die Erlaubnis erteilen, die Rolle an Amazon ECS weiterzugeben. Ordnen Sie Ihrem Benutzer die folgende iam:PassRole Berechtigung zu. ecsInfrastructureRoleForLoadBalancersErsetzen Sie es durch den Namen der Infrastrukturrolle, die Sie erstellt haben.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRoleForLoadBalancers"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Weitere Informationen zu Benutzerberechtigungen iam:Passrole und deren Aktualisierung finden Sie unter Gewähren von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst und Ändern der Berechtigungen für einen IAM-Benutzer im AWS Identity and Access Management Benutzerhandbuch.