Verwendung von serviceverknüpften Rollen für Amazon ECS - Amazon Elastic Container Service
Serviceverknüpfte Rollenberechtigungen für Amazon ECSErstellen einer serviceverknüpften Rolle für Amazon ECSBearbeiten einer serviceverknüpften Rolle für Amazon ECSLöschen einer serviceverknüpften Rolle für Amazon ECSUnterstützte Regionen für serviceverknüpfte Rollen von Amazon ECS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von serviceverknüpften Rollen für Amazon ECS

Amazon Elastic Container Service verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon EKS verknüpft ist. Serviceverknüpfte Rollen werden von Amazon ECS vordefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS -Services in Ihrem Namen erfordert.

Eine serviceverknüpfte Rolle macht die Einrichtung von Amazon ECS einfacher, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon ECS definiert die Berechtigungen seiner mit dem Service verbundenen Rollen, und sofern nicht anders definiert, kann nur Amazon ECS seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS Services, die mit IAM funktionieren. Suchen Sie in der Spalte Service-verknüpfte Rollen nach den Services, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Serviceverknüpfte Rollenberechtigungen für Amazon ECS

Amazon ECS verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForECS.

Die serviceverknüpfte AWSService RoleFor ECS-Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • ecs.amazonaws.com

Die Rollenberechtigungsrichtlinie mit dem Namen Amazon ECSService RolePolicy ermöglicht Amazon ECS, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion: Bei Verwendung des awsvpc-Netzwerkmodus für Ihre Amazon-ECS-Aufgaben verwaltet Amazon ECS den Lebenszyklus der Elastic-Network-Schnittstellen, die mit der Aufgabe verknüpft sind. Dazu gehören auch Tags, die Amazon ECS zu Ihren Elastic-Network-Schnittstellen hinzufügt.

  • Aktion: Wenn Sie einen Load Balancer mit Ihrem Amazon-ECS-Service verwenden, verwaltet Amazon ECS die Registrierung und Aufhebung der Registrierung von Ressourcen mit dem Load Balancer.

  • Aktion: Wenn Sie Amazon ECS Service Discovery verwenden, verwaltet Amazon ECS die erforderliche Route 53 und die AWS Cloud Map Ressourcen, damit Service Discovery funktioniert.

  • Aktion: Wenn Sie das Auto Scaling des Amazon-ECS-Service verwenden, verwaltet Amazon ECS die erforderlichen Auto-Scaling-Ressourcen.

  • Aktion: Amazon ECS erstellt und verwaltet CloudWatch Alarme und Protokollstreams, die Sie bei der Überwachung Ihrer Amazon ECS-Ressourcen unterstützen.

  • Aktion: Wenn Sie Amazon ECS Exec verwenden, verwaltet Amazon ECS die Berechtigungen, die zum Starten von Amazon-ECS-Exec-Sitzungen für Ihre Aufgaben erforderlich sind.

  • Aktion: Bei Verwendung von Amazon ECS Service Connect verwaltet Amazon ECS die erforderlichen AWS Cloud Map -Ressourcen zur Verwendung des Features.

  • Maßnahme: Bei der Verwendung von Amazon ECS-Kapazitätsanbietern verwaltet Amazon ECS die Berechtigungen, die zum Ändern der Auto Scaling Scaling-Gruppe und ihrer EC2 Amazon-Instances erforderlich sind.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für Amazon ECS

In den meisten Fällen müssen Sie die serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Cluster erstellen oder einen Service in der AWS Management Console, der oder der AWS API erstellen oder aktualisieren AWS CLI, erstellt Amazon ECS die serviceverknüpfte Rolle für Sie. Wenn Sie die AWSServiceRoleForECS-Rolle nach dem Erstellen eines Clusters nicht sehen, gehen Sie wie folgt vor, um das Problem zu beheben:

  • Überprüfen und konfigurieren Sie die Berechtigungen, damit Amazon ECS eine serviceverknüpfte Rolle in Ihrem Namen erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

  • Versuchen Sie den Vorgang zur Clustererstellung erneut, oder erstellen Sie die serviceverknüpfte Rolle manuell.

    Sie können die IAM-Konsole verwenden, um die serviceverknüpfte AWSServiceRoleForECS-Rolle zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine serviceverknüpfte Rolle mit dem ecs.amazonaws.com Dienstnamen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Wichtig

Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Cluster erstellen oder einen Service erstellen oder aktualisieren, erstellt Amazon ECS die serviceverknüpfte Rolle erneut für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben IAM-Verfahren die Rolle erneut erstellen.

Bearbeiten einer serviceverknüpften Rolle für Amazon ECS

Amazon ECS erlaubt Ihnen nicht, die mit dem AWSService RoleFor ECS-Service verknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Aktualisieren einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Amazon ECS

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Amazon-ECS-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt der Löschvorgang möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

So überprüfen Sie, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Rollen und dann den AWSService RoleFor ECS-Namen aus (nicht das Kontrollkästchen).

  3. Wählen Sie auf der Seite Summary Access Advisor und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ob Amazon ECS die AWSService RoleFor ECS-Rolle verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

So entfernen Sie Amazon ECS-Ressourcen, die von der serviceverknüpften AWSService RoleFor ECS-Rolle verwendet werden

Sie müssen alle Amazon ECS-Cluster in allen AWS Regionen löschen, bevor Sie die AWSService RoleFor ECS-Rolle löschen können.

  1. Skalieren Sie alle Amazon-ECS-Services auf eine gewünschte Anzahl von 0 in allen Regionen, und löschen Sie die Services. Weitere Informationen erhalten Sie unter Aktualisieren eines Amazon ECS-Service mithilfe der Konsole und Löschen eines Amazon ECS-Service mithilfe der Konsole.

  2. Erzwingen Sie die Deregistrierung aller Container-Instances aus allen Clustern in allen Regionen. Weitere Informationen finden Sie unter Abmeldung einer Amazon ECS-Container-Instance.

  3. Löschen Sie alle Amazon-ECS-Cluster in allen Regionen. Weitere Informationen finden Sie unter Löschen eines Amazon ECS-Clusters.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die mit dem AWSService RoleFor ECS-Service verknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen für serviceverknüpfte Rollen von Amazon ECS

Amazon ECS unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS -Regionen und -Endpunkte.