Amazon-ECS-Instance-Rolle - AWS Batch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon-ECS-Instance-Rolle

AWS Batch -Rechenumgebungen werden mit Amazon-ECS-Container-Instances gefüllt. Sie führen den Amazon-ECS-Container-Agent lokal aus. Der Amazon-ECS-Container-Agent ruft verschiedene AWS API-Operationen in Ihrem Namen auf. Daher benötigen Container-Instances, die den Agenten ausführen, eine IAM-Richtlinie und -Rolle, damit diese Services erkennen können, dass der Agent Ihnen gehört. Sie müssen eine IAM-Rolle und ein Instance-Profil für die Container-Instances erstellen, die beim Start verwendet werden sollen. Andernfalls können Sie keine Datenverarbeitungsumgebung erstellen und Container-Instances darin starten. Diese Anforderung gilt für Container-Instances, die mit oder ohne das Amazon-ECS-optimierte AMI von Amazon gestartet wurden. Weitere Informationen finden Sie unter IAM-Rolle für Amazon-ECS-Container-Instances im Entwicklerhandbuch für Amazon Elastic Container Service .

Die Amazon-ECS-Instance-Rolle und das Instance-Profil werden in der ersten Ausführung der Konsole automatisch für Sie erstellt. Sie können jedoch diese Schritte ausführen, um zu überprüfen, ob Ihr Konto bereits über die Amazon-ECS-Instance-Rolle und das Instance-Profil verfügt. In den folgenden Schritten wird auch beschrieben, wie Sie die verwaltete IAM-Richtlinie anfügen.

So prüfen Sie ecsInstanceRole in der IAM-Konsole
  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Suchen Sie in der Liste der Rollen nach ecsInstanceRole. Wenn die Rolle nicht vorhanden ist, führen Sie die folgenden Schritte aus, um die Rolle zu erstellen.

    1. Wählen Sie Create Role (Rolle erstellen) aus.

    2. Wählen Sie für Vertrauenswürdige Entität die Option AWS-Service aus.

    3. Wählen Sie für Häufige Anwendungsfälle die Option EC2 aus.

    4. Wählen Sie Weiter aus.

    5. Suchen Sie unter Berechtigungsrichtlinien nach AmazonEC2ContainerServiceforEC2Role .

    6. Aktivieren Sie das Kontrollkästchen neben AmazonEC2ContainerServiceforEC2Role und wählen Sie dann Weiter aus.

    7. Geben Sie unter Role Name (Rollenname) den Namen ecsInstanceRole ein und wählen Sie Create role (Rolle erstellen) aus.

      Anmerkung

      Wenn Sie die verwenden, AWS Management Console um eine Rolle für Amazon EC2 zu erstellen, erstellt die Konsole ein Instance-Profil mit demselben Namen wie die Rolle.

Alternativ können Sie die verwenden, AWS CLI um die ecsInstanceRole IAM-Rolle zu erstellen. Im folgenden Beispiel wird eine IAM-Rolle mit einer Vertrauensrichtlinie und einer von AWS verwalteten Richtlinie erstellt.

IAM-Rolle und Instance-Profil erstellen (AWS CLI)
  1. Erstellen Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Textdatei mit dem Namen ecsInstanceRole-role-trust-policy.json.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com"}, "Action": "sts:AssumeRole" } ] }
  2. Verwenden Sie den Befehl create-role, um die ecsInstanceRole Rolle zu erstellen. Geben Sie den Speicherort der Vertrauensrichtliniendatei im assume-role-policy-document Parameter an.

    $ aws iam create-role \ --role-name ecsInstanceRole \ --assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json

    Nachfolgend finden Sie eine Beispielantwort.

    { "Role": { "Path": "/", "RoleName: "ecsInstanceRole", "RoleId": "AROAT46P5RDIY4EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/ecsInstanceRole". "CreateDate": "2022-12-12T23:46:37.247Z", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service: "ec2.amazonaws.com" } "Action": "sts:AssumeRole", } ] } }
  3. Verwenden Sie den create-instance-profile Befehl , um ein Instance-Profil mit dem Namen zu erstellenecsInstanceRole.

    Anmerkung

    Sie müssen Rollen und Instance-Profile als separate Aktionen in der AWS CLI und API erstellenAWS.

    $ aws iam create-instance-profile --instance-profile-name ecsInstanceRole

    Nachfolgend finden Sie eine Beispielantwort.

    { "InstanceProfile": { "Path": "/", "InstanceProfileName": "ecsInstanceRole", "InstanceProfileId": "AIPAT46P5RDITREXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole", "CreateDate": "2022-06-30T23:53:34.093Z", "Roles": [], } }
  4. Verwenden Sie den Befehl add-role-to-instance-profile, um die ecsInstanceRole Rolle zum ecsInstanceRole Instance-Profil hinzuzufügen.

    aws iam add-role-to-instance-profile \ --role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
  5. Verwenden Sie den attach-role-policy Befehl , um die AmazonEC2ContainerServiceforEC2Role AWS verwaltete Richtlinie an die ecsInstanceRole Rolle anzuhängen.

    $ aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \ --role-name ecsInstanceRole