Verwenden von serviceverknüpften Rollen für Amazon ECS - Amazon Elastic Container Service
Servicebezogene Rollenberechtigungen für Amazon ECSEine servicebezogene Rolle für Amazon erstellen ECSBearbeitung einer serviceverknüpften Rolle für Amazon ECSLöschen einer serviceverknüpften Rolle für Amazon ECSUnterstützte Regionen für Rollen im ECS Zusammenhang mit Amazon Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Amazon ECS

Amazon Elastic Container Service verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine servicebezogene Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Amazon ECS verknüpft ist. Die serviceverknüpfte Rolle ist von Amazon vordefiniert ECS und umfasst alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine serviceverknüpfte Rolle ECS erleichtert die Einrichtung von Amazon, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon ECS definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, ECS kann nur Amazon seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen Sie in der Spalte Dienstbezogene Rollen nach Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Servicebezogene Rollenberechtigungen für Amazon ECS

Amazon ECS verwendet die mit dem Service verknüpfte Rolle mit dem Namen AWSServiceRoleForECS.

Die AWSServiceRoleForECS servicebezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • ecs.amazonaws.com

Die Rollenberechtigungsrichtlinie mit dem Namen A mazonECSService RolePolicy ECS ermöglicht Amazon, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion: Wenn Sie den awsvpc Netzwerkmodus für Ihre ECS Amazon-Aufgaben verwenden, ECS verwaltet Amazon den Lebenszyklus der mit der Aufgabe verknüpften elastischen Netzwerkschnittstellen. Dazu gehören auch Tags, die Amazon Ihren elastischen Netzwerkschnittstellen ECS hinzufügt.

  • Maßnahme: Wenn Sie einen Load Balancer mit Ihrem ECS Amazon-Service verwenden, ECS verwaltet Amazon die Registrierung und Abmeldung von Ressourcen beim Load Balancer.

  • Maßnahme: Wenn Sie Amazon ECS Service Discovery verwenden, ECS verwaltet Amazon die erforderliche Route 53 und die AWS Cloud Map Ressourcen, damit Service Discovery funktioniert.

  • Maßnahme: Wenn Sie Amazon ECS Service Auto Scaling verwenden, ECS verwaltet Amazon die erforderlichen Auto Scaling-Ressourcen.

  • Aktion: Amazon ECS erstellt und verwaltet CloudWatch Alarme und Protokollstreams, die Sie bei der Überwachung Ihrer ECS Amazon-Ressourcen unterstützen.

  • Aktion: Wenn Sie Amazon ECS Exec verwenden, ECS verwaltet Amazon die Berechtigungen, die zum Starten von Amazon ECS Exec-Sitzungen für Ihre Aufgaben erforderlich sind.

  • Aktion: Bei der Verwendung von Amazon ECS Service Connect ECS verwaltet Amazon die AWS Cloud Map Ressourcen, die für die Nutzung der Funktion erforderlich sind.

  • Maßnahme: Bei der Verwendung von ECS Amazon-Kapazitätsanbietern ECS verwaltet Amazon die Berechtigungen, die zum Ändern der Auto Scaling Scaling-Gruppe und ihrer EC2 Amazon-Instances erforderlich sind.

Sie müssen Berechtigungen so konfigurieren, dass eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.

Eine servicebezogene Rolle für Amazon erstellen ECS

In den meisten Fällen müssen Sie die serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Cluster erstellen oder einen Service im AWS Management Console, dem oder dem erstellen oder aktualisieren AWS CLI, ECS erstellt Amazon die AWS API serviceverknüpfte Rolle für Sie. Wenn Sie die AWSServiceRoleForECSRolle nach dem Erstellen eines Clusters nicht sehen, gehen Sie wie folgt vor, um das Problem zu beheben:

  • Überprüfen und konfigurieren Sie die Berechtigungen, ECS damit Amazon in Ihrem Namen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.

  • Versuchen Sie den Vorgang zur Clustererstellung erneut, oder erstellen Sie die serviceverknüpfte Rolle manuell.

    Sie können die IAM Konsole verwenden, um die AWSServiceRoleForECSdienstbezogene Rolle zu erstellen. Erstellen Sie im AWS CLI oder im AWS API eine dienstverknüpfte Rolle mit dem ecs.amazonaws.com Dienstnamen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer dienstbezogenen Rolle.

Wichtig

Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Cluster erstellen oder einen Service erstellen oder aktualisieren, ECS erstellt Amazon die serviceverknüpfte Rolle erneut für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie dieselbe IAM Vorgehensweise verwenden, um die Rolle erneut zu erstellen.

Bearbeitung einer serviceverknüpften Rolle für Amazon ECS

Amazon erlaubt Ihnen ECS nicht, die AWSServiceRoleForECS serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen einer serviceverknüpften Rolle für Amazon ECS

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der ECS Amazon-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

So überprüfen Sie, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen und dann den AWSServiceRoleForECS Namen aus (nicht das Kontrollkästchen).

  3. Wählen Sie auf der Seite Summary Access Advisor und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ECS ob Amazon die AWSServiceRoleForECS Rolle verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

So entfernen Sie ECS Amazon-Ressourcen, die von der AWSServiceRoleForECS serviceverknüpften Rolle verwendet werden

Sie müssen alle ECS Amazon-Cluster in allen AWS Regionen löschen, bevor Sie die AWSServiceRoleForECS Rolle löschen können.

  1. Skalieren Sie alle ECS Amazon-Dienste in allen Regionen auf die gewünschte Anzahl von 0 und löschen Sie dann die Dienste. Weitere Informationen erhalten Sie unter Einen ECS Amazon-Service mithilfe der Konsole aktualisieren und Löschen eines ECS Amazon-Service mithilfe der Konsole.

  2. Erzwingen Sie die Deregistrierung aller Container-Instances aus allen Clustern in allen Regionen. Weitere Informationen finden Sie unter Abmeldung einer Amazon-Container-Instance ECS.

  3. Löschen Sie alle ECS Amazon-Cluster in allen Regionen. Weitere Informationen finden Sie unter Löschen eines ECS Amazon-Clusters.

Um die mit dem Service verknüpfte Rolle manuell zu löschen, verwenden Sie IAM

Verwenden Sie die IAM Konsole, den oder AWS CLI, AWS API um die AWSServiceRoleForECS dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Unterstützte Regionen für Rollen im ECS Zusammenhang mit Amazon Services

Amazon ECS unterstützt die Verwendung von Rollen im Zusammenhang mit Services in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS -Regionen und -Endpunkte.