Perfil de instancia de instancias administradas de Amazon ECS - Amazon Elastic Container Service
Creación de un rol con la política de confianzaCreación del perfil de instancia con la AWS CLI

Perfil de instancia de instancias administradas de Amazon ECS

Un perfil de instancia es un contenedor de IAM que ocupa exactamente un rol de IAM y permite que las instancias de Instancias administradas de Amazon ECS asuman ese rol de forma segura. El perfil de instancia contiene un rol de instancia que el agente de ECS asume para registrar las instancias con los clústeres y comunicarse con el servicio de ECS.

importante

Si utiliza instancias administradas de Amazon ECS con la política de infraestructura administrada de AWS, el perfil de instancia debe llamarse ecsInstanceRole. Si utiliza una política personalizada para el rol de infraestructura, el perfil de instancia puede tener un nombre alternativo.

Creación de un rol con la política de confianza

Sustituya cada entrada del usuario por información propia.

  1. Cree un archivo con el nombre ecsInstanceRole-trust-policy.json, que contenga la política de confianza que se va a utilizar para el rol de IAM. El archivo debe contener lo siguiente:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": { "Service": "ec2.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Utilice el siguiente comando de la AWS CLI para crear un rol con el nombre ecsInstanceRole mediante la política de confianza que creó en el paso anterior.

    aws iam create-role \
      --role-name ecsInstanceRole \
      --assume-role-policy-document file://ecsInstanceRole-trust-policy.json

  3. Asocie la política AmazonECSInstanceRolePolicyForManagedInstances administrada por AWS al rol ecsInstanceRole.

    aws iam attach-role-policy \
      --role-name ecsInstanceRole \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInstanceRolePolicyForManagedInstances
    nota

    Si opta por aplicar permisos con privilegios mínimos y especificar sus propios permisos en su lugar, puede agregar los siguientes permisos para solucionar problemas relacionados con las tareas con Instancias administradas de Amazon ECS:

    • ecs:StartTelemetrySession

    • ecs:PutSystemLogEvents

También puede usar el flujo de trabajo de Política de confianza personalizada de la consola de IAM para crear el rol. Para obtener instrucciones, consulte Creating a role using custom trust policies (console) en la Guía del usuario de IAM.

Después de crear el archivo, debe conceder a su usuario permiso para transferir el rol a Amazon ECS.

Creación del perfil de instancia con la AWS CLI

Tras crear el rol, cree el perfil de instancia con la AWS CLI:

aws iam create-instance-profile --instance-profile-name ecsInstanceRole

Agregue el rol al perfil de instancia:

aws iam add-role-to-instance-profile \
   --instance-profile-name ecsInstanceRole \
   --role-name ecsInstanceRole

Compruebe que el perfil se haya creado correctamente:

aws iam get-instance-profile --instance-profile-name ecsInstanceRole