Rol de IAM de infraestructura de Amazon ECS para los equilibradores de carga
Un rol de IAM de infraestructura de Amazon ECS para los equilibradores de carga permite a Amazon ECS administrar los recursos de los equilibradores de carga de los clústeres en su nombre y se utiliza cuando:
-
Desea utilizar implementaciones azul/verde con Amazon ECS. El rol de infraestructura permite a Amazon ECS administrar los recursos del equilibrador de carga para las implementaciones.
-
Es necesario Amazon ECS para crear, modificar o eliminar los recursos del equilibrador de carga, como los grupos de destino y los oyentes, durante las operaciones de implementación.
Cuando Amazon ECS asume este rol para tomar medidas en su nombre, los eventos estarán visibles en AWS CloudTrail. Si Amazon ECS utiliza el rol para administrar los recursos del equilibrador de carga para las implementaciones azul/verde, el registro de CloudTrail roleSessionName será ECSNetworkingWithELB o ecs-service-scheduler. Para usar este nombre para buscar eventos en la consola de CloudTrail, filtre por Nombre de usuario.
Amazon ECS proporciona una política administrada que contiene los permisos necesarios para la administración del equilibrador de carga. Para más información, consulte AmazonECSInfrastructureRolePolicyForLoadBalancers en la Guía de referencia de políticas administradas de AWS.
Creación del rol de infraestructura de Amazon ECS para los equilibradores de carga
Sustituya cada entrada del usuario por información propia.
-
Cree un archivo con el nombre
ecs-infrastructure-trust-policy.json, que contenga la política de confianza que se va a utilizar para el rol de IAM. El archivo debe contener lo siguiente: -
Utilice el siguiente comando de la AWS CLI para crear un rol con el nombre
ecsInfrastructureRoleForLoadBalancersmediante la política de confianza que creó en el paso anterior.aws iam create-role \ --role-nameecsInfrastructureRoleForLoadBalancers\ --assume-role-policy-document file://ecs-infrastructure-trust-policy.json -
Asocie la política
AmazonECSInfrastructureRolePolicyForLoadBalancersadministrada por AWS al rolecsInfrastructureRoleForLoadBalancers.aws iam attach-role-policy \ --role-nameecsInfrastructureRoleForLoadBalancers\ --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForLoadBalancers
También puede usar el flujo de trabajo de Política de confianza personalizada de la consola de IAM para crear el rol. Para obtener instrucciones, consulte Creating a role using custom trust policies (console) en la Guía del usuario de IAM.
importante
Si Amazon ECS utiliza el rol de infraestructura para administrar los recursos del equilibrador de carga para las implementaciones azul/verde, asegúrese de lo siguiente antes de eliminar o modificar el rol:
-
El rol no se elimina mientras las implementaciones activas están en curso.
-
La política de confianza del rol no se modifica para eliminar el acceso a Amazon ECS (
ecs.amazonaws.com). -
La política administrada
AmazonECSInfrastructureRolePolicyForLoadBalancersno se elimina mientras las implementaciones activas están en curso.
Eliminar o modificar el rol durante las implementaciones azul/verde activas puede provocar errores en la implementación y dejar los servicios en un estado incoherente.
Después de crear el archivo, debe conceder a su usuario permiso para transferir el rol a Amazon ECS.
Permiso para transferir el rol de infraestructura a Amazon ECS
Para utilizar un rol de IAM de infraestructura de ECS para los equilibradores de carga, debe conceder a su usuario permiso para transferir el rol a Amazon ECS. Adjunte el siguiente permiso iam:PassRole a su usuario. Sustituya ecsInfrastructureRoleForLoadBalancers por el nombre del rol de infraestructura que haya creado.
Para obtener más información sobre iam:Passrole y la actualización de permisos de su usuario, consulte Granting a user permissions to pass a role to an AWS service y Changing permissions for an IAM user en la Guía del usuario de AWS Identity and Access Management.
