ECS Anywhere IAM-Rolle - Amazon ECS

ECS Anywhere IAM-Rolle

Wenn Sie einen On-Premises-Server oder eine virtuelle Maschine (VM) in Ihrem Cluster registrieren, benötigt der Server oder die virtuelle Maschine eine IAM-Rolle für die Kommunikation mit AWS-APIs. Für jedes AWS-Konto muss diese IAM-Rolle nur einmal erstellt werden.

So suchen Sie nach der ecsAnywhereRole-IAM-Rolle (AWS Management Console)

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) aus.

  3. Suchen Sie in der Liste der Rollen nach ecsAnywhereRole. Wenn die Rolle nicht vorhanden ist, verwenden Sie das Verfahren im nächsten Abschnitt, um die Rolle zu erstellen. Wenn die Rolle vorhanden ist, wählen Sie die Rolle aus, um die zugeordneten Richtlinien zu sehen.

  4. Stellen Sie auf der Registerkarte Berechtigungen sicher, dass die verwalteten Richtlinien AmazonEC2ContainerServiceforEC2Role und AmazonSSMManagedInstanceCore an der Rolle angefügt sind. Wenn die Richtlinie zugewiesen ist, ist Ihre Amazon ECS Anywhere-Rolle korrekt konfiguriert. Andernfalls führen Sie die folgenden Teilschritte aus, um die Richtlinien zuzuweisen.

    1. Wählen Sie Attach Policies (Richtlinien hinzufügen).

    2. Geben Sie in das Feld Filter den Text AmazonEC2ContainerServiceforEC2Role zum Einschränken der verfügbaren Richtlinien ein, die angefügt werden können.

    3. Aktivieren Sie das Kontrollkästchen links neben der Richtlinie AmazonEC2ContainerServiceforEC2Role und wählen Sie Attach Policy aus.

    4. Geben Sie in das Feld Filter den Text AmazonSSMManagedInstanceCore ein, um die verfügbaren Richtlinien, die angefügt werden können, einzuschränken.

    5. Aktivieren Sie das Kontrollkästchen links neben der Richtlinie AmazonSSMManagedInstanceCore und wählen Sie Attach policy (Richtlinie anhängen).

  5. Wählen Sie die Registerkarte Trust relationships und danach Edit trust relationship aus.

  6. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der unten angegebenen Richtlinie übereinstimmt, wählen Sie Cancel. Andernfalls kopieren Sie die Richtlinie in das Fenster Policy Document und wählen Update Trust Policy aus.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

So erstellen Sie die IAM-Rolle ecsAnywhereRole (AWS Management Console)

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles und dann Create role.

  3. Wählen Sie den Rollentyp AWS-Service und dann Elastic Container Service aus.

  4. Wählen Sie den Anwendungsfall EC2 Role for Elastic Container Service (EC2-Rolle für den Elastic Container-Service) aus und klicken Sie auf Next: Permissions (Weiter: Berechtigungen).

  5. Wählen Sie im Abschnitt Attached permissions policy die Richtlinie AmazonEC2ContainerServiceforEC2Role und dann Next: Review.

  6. Geben Sie für Rollenname ecsAnywhereRole ein und optional können Sie eine Beschreibung eingeben, z. B. Ermöglicht On-Premises-Servern oder virtuellen Maschinen in einem ECS-Cluster den Zugriff auf ECS..

  7. Prüfen Sie Ihre Rolleninformationen und klicken Sie dann auf Create role, um den Vorgang abzuschließen.

  8. Wählen Sie die soeben von Ihnen erstellte Rolle ecsAnywhereRole.

  9. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Option Attach policies (Richtlinien anfügen) aus.

  10. Geben Sie in das Feld Filter den Text AmazonSSMManagedInstanceCore ein, um die verfügbaren Richtlinien, die angefügt werden können, einzuschränken.

  11. Aktivieren Sie das Kontrollkästchen links neben der Richtlinie AmazonSSMManagedInstanceCore und wählen Sie Attach policy (Richtlinie anhängen).

  12. Wählen Sie auf der Registerkarte Trust relationships (Vertrauensstellungen) die Option Edit trust relationship (Vertrauensstellung bearbeiten).

  13. Ändern Sie die Vertrauensstellung so, dass sie die folgende Richtlinie enthält, und wählen Sie dann Update Trust Policy aus.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

So erstellen Sie die IAM-Rolle ecsAnywhereRole (AWS CLI)

  1. Erstellen Sie eine lokale Datei mit dem Namen ssm-trust-policy.json und den folgenden Inhalten:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Service": [ "ssm.amazonaws.com" ]}, "Action": "sts:AssumeRole" } }
  2. Erstellen Sie die -Rolle.

    aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json
  3. Fügen Sie die von AWS verwaltete Richtlinien an.

    aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role