Verwendung von serviceverknüpften Rollen für Amazon ECS - Amazon Elastic Container Service
Serviceverknüpfte Rollenberechtigungen für Amazon ECSErstellen einer serviceverknüpften Rolle für Amazon ECSBearbeiten einer serviceverknüpften Rolle für Amazon ECSLöschen einer serviceverknüpften Rolle für Amazon ECSUnterstützte Regionen für serviceverknüpfte Rollen von Amazon ECS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von serviceverknüpften Rollen für Amazon ECS

Amazon Elastic Container Service verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon EKS verknüpft ist. Serviceverknüpfte Rollen werden von Amazon ECS vordefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS -Services in Ihrem Namen erfordert.

Eine serviceverknüpfte Rolle macht die Einrichtung von Amazon ECS einfacher, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon ECS definiert die Berechtigungen seiner mit dem Service verbundenen Rollen, und sofern nicht anders definiert, kann nur Amazon ECS seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Informationen zu anderen Services, die serviceorientierte Rollen unterstützen, finden Sie unter AWS services that work with IAM (-Services, die mit IAM funktionieren). Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Service-linked roles (Serviceorientierte Rollen) angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Serviceverknüpfte Rollenberechtigungen für Amazon ECS

Amazon ECS verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForECS.

Die AWSServiceRoleForECS serviceverknüpfte Rolle vertraut darauf, dass die folgenden Services die Rolle übernehmen:

  • ecs.amazonaws.com

Die Rollenberechtigungsrichtlinie namens AmazonECSServiceRolePolicy erlaubt Amazon ECS, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion: Bei Verwendung des awsvpc-Netzwerkmodus für Ihre Amazon-ECS-Aufgaben verwaltet Amazon ECS den Lebenszyklus der Elastic-Network-Schnittstellen, die mit der Aufgabe verknüpft sind. Dazu gehören auch Tags, die Amazon ECS zu Ihren Elastic-Network-Schnittstellen hinzufügt.

  • Aktion: Wenn Sie einen Load Balancer mit Ihrem Amazon-ECS-Service verwenden, verwaltet Amazon ECS die Registrierung und Aufhebung der Registrierung von Ressourcen mit dem Load Balancer.

  • Aktion: Bei Verwendung der Amazon-ECS-Serviceerkennung verwaltet Amazon ECS die erforderlichen Route-53- und - AWS Cloud Map Ressourcen, damit die Serviceerkennung funktioniert.

  • Aktion: Wenn Sie das Auto Scaling des Amazon-ECS-Service verwenden, verwaltet Amazon ECS die erforderlichen Auto-Scaling-Ressourcen.

  • Aktion: Amazon ECS erstellt und verwaltet CloudWatch Alarme und Protokollstreams, die bei der Überwachung Ihrer Amazon-ECS-Ressourcen helfen.

  • Aktion: Wenn Sie Amazon ECS Exec verwenden, verwaltet Amazon ECS die Berechtigungen, die zum Starten von Amazon-ECS-Exec-Sitzungen für Ihre Aufgaben erforderlich sind.

  • Aktion: Bei Verwendung von Amazon ECS Service Connect verwaltet Amazon ECS die erforderlichen AWS Cloud Map -Ressourcen zur Verwendung des Features.

  • Aktion: Bei Verwendung von Amazon-ECS-Kapazitätsanbietern verwaltet Amazon ECS die Berechtigungen, die zum Ändern der Auto-Scaling-Gruppe und ihrer Amazon-EC2-Instances erforderlich sind.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für Amazon ECS

In den meisten Fällen müssen Sie die serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Cluster erstellen oder einen Service in der AWS CLI, AWS Management Console der oder der AWS API erstellen oder aktualisieren, erstellt Amazon ECS die serviceverknüpfte Rolle für Sie. Wenn Sie die AWSServiceRoleForECS Rolle nach dem Erstellen eines Clusters nicht sehen, führen Sie die folgenden Schritte aus, um das Problem zu beheben:

  • Überprüfen und konfigurieren Sie die Berechtigungen, damit Amazon ECS eine serviceverknüpfte Rolle in Ihrem Namen erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

  • Versuchen Sie den Vorgang zur Clustererstellung erneut, oder erstellen Sie die serviceverknüpfte Rolle manuell.

    Sie können die IAM-Konsole verwenden, um die AWSServiceRoleForECS serviceverknüpfte Rolle zu erstellen. Erstellen Sie in der AWS CLI oder der - AWS API eine serviceverknüpfte Rolle mit dem ecs.amazonaws.com Servicenamen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Wichtig

Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Cluster erstellen oder einen Service erstellen oder aktualisieren, erstellt Amazon ECS die serviceverknüpfte Rolle erneut für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben IAM-Verfahren die Rolle erneut erstellen.

Bearbeiten einer serviceverknüpften Rolle für Amazon ECS

Amazon ECS erlaubt es Ihnen nicht, die AWSServiceRoleForECS serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Amazon ECS

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Amazon-ECS-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt der Löschvorgang möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

So überprüfen Sie, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und dann den AWSServiceRoleForECS -Namen (nicht das Kontrollkästchen) aus.

  3. Wählen Sie auf der Seite Summary Access Advisor und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ob Amazon ECS die AWSServiceRoleForECS Rolle verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

So entfernen Sie Amazon-ECS-Ressourcen, die von der AWSServiceRoleForECS serviceverknüpften Rolle verwendet werden

Sie müssen alle Amazon-ECS-Cluster in allen AWS Regionen löschen, bevor Sie die AWSServiceRoleForECS Rolle löschen können.

  1. Skalieren Sie alle Amazon-ECS-Services auf eine gewünschte Anzahl von 0 in allen Regionen, und löschen Sie die Services. Weitere Informationen finden Sie unter Aktualisieren eines Services mit der Konsole und Löschen eines Services über die Konsole.

  2. Erzwingen Sie die Deregistrierung aller Container-Instances aus allen Clustern in allen Regionen. Weitere Informationen finden Sie unter Abmelden einer Amazon EC2 gesicherten Container-Instance.

  3. Löschen Sie alle Amazon-ECS-Cluster in allen Regionen. Weitere Informationen finden Sie unter Löschen eines Clusters über die Konsole.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die - AWS API AWS CLI, um die AWSServiceRoleForECS serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen für serviceverknüpfte Rollen von Amazon ECS

Amazon ECS unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS -Regionen und -Endpunkte.