Uso de roles vinculados al servicio para Amazon ECS

Amazon Elastic Container Service utiliza AWS Identity and Access Management funciones vinculadas al servicio (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon ECS. El rol vinculado al servicio está predefinido por Amazon ECS e incluye todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado al servicio simplifica la configuración de Amazon ECS porque ya no tendrá que agregar manualmente los permisos requeridos. Amazon ECS define los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo Amazon ECS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Roles vinculados a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados al servicio para Amazon ECS

Amazon ECS usa el rol vinculado al servicio denominado. AWSServiceRoleForECS

El rol AWSServiceRoleForECS vinculado al servicio confía en que los siguientes servicios asuman el rol:

• ecs.amazonaws.com

La política de permisos de roles denominada AmazonECS ServiceRolePolicy permite a Amazon ECS realizar las siguientes acciones en los recursos especificados:

• Acción: al utilizar el modo de red awsvpc para las tareas de Amazon ECS, este administra el ciclo de vida de las interfaces de red elásticas asociadas a la tarea. Esto también incluye las etiquetas que Amazon ECS agrega a sus interfaces de red elástica.

• Acción: al utilizar un equilibrador de carga con su servicio de Amazon ECS, este administra el registro y la anulación del registro de los recursos con el equilibrador de carga.

• Acción: Cuando se utiliza la detección de servicios de Amazon ECS, Amazon ECS administra la Ruta 53 y AWS Cloud Map los recursos necesarios para que la detección de servicios funcione.

• Acción: al utilizar el escalado automático de servicios de Amazon ECS, este administra los recursos de escalado automático necesarios.

• Acción: Amazon ECS crea y gestiona CloudWatch alarmas y flujos de registro que ayudan a supervisar los recursos de Amazon ECS.

• Acción: al utilizar Amazon ECS Exec, Amazon ECS administra los permisos necesarios para iniciar sesiones de Amazon ECS Exec en sus tareas.

• Acción: al utilizar Amazon ECS Service Connect, Amazon ECS administra los recursos de AWS Cloud Map necesarios para utilizar la función.

• Acción: al utilizar proveedores de capacidad de Amazon ECS, este servicio administra los permisos necesarios para modificar el grupo de escalado automático y sus instancias de Amazon EC2.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado al servicio para Amazon ECS

En la mayoría de los casos, no es necesario crear manualmente roles vinculados a servicios. Cuando crea un clúster o crea o actualiza un servicio en la AWS Management Console, la o la AWS API AWS CLI, Amazon ECS crea el rol vinculado al servicio por usted. Si no ve el AWSServiceRoleForECSrol después de crear un clúster, lleve a cabo lo siguiente para solucionar el problema:

• Verifique y configure los permisos para permitir a Amazon ECS crear, editar o eliminar un rol vinculado a un servicio en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

• Reintente la operación de creación del clúster o cree manualmente el rol vinculado a servicios.

  Puede usar la consola de IAM para crear el rol vinculado al AWSServiceRoleForECSservicio. En la API AWS CLI o en la AWS API, cree un rol vinculado al servicio con el nombre del servicio. ecs.amazonaws.com Para obtener más información, consulte Creating a service-linked role en la Guía del usuario de IAM.

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un clúster o crea o actualiza un servicio, Amazon ECS vuelve a crear el rol vinculado al servicio.

Si elimina este rol vinculado al servicio, puede utilizar el mismo proceso de IAM para volver a crear el rol.

Edición de un rol vinculado al servicio para Amazon ECS

Amazon ECS no le permite editar el rol AWSServiceRoleForECS vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado al servicio para Amazon ECS

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de Amazon ECS utiliza el rol al intentar eliminar los recursos, se podría producir un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

Para comprobar si el rol vinculado a servicio tiene una sesión activa

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, elija Roles y seleccione el nombre de AWSServiceRoleForECS (no la casilla).

3. En la página Summary, elija Access Advisor y revise la actividad reciente del rol vinculado a servicio.

   nota

   Si no está seguro de si Amazon ECS está utilizando el AWSServiceRoleForECS rol, puede intentar eliminarlo. Si el servicio utiliza el rol, este no podrá eliminarse y podrá ver las regiones en las que se utiliza. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a servicios.

Para eliminar los recursos de Amazon ECS utilizados por el rol AWSServiceRoleForECS vinculado al servicio

Debe eliminar todos los clústeres de Amazon ECS en todas AWS las regiones antes de poder eliminar el AWSServiceRoleForECS rol.

1. Reduzca los servicios de Amazon ECS hasta el recuento deseado de 0 en todas las regiones y, a continuación, elimine los servicios. Para obtener más información, consulte Actualización de un servicio mediante la consola y Eliminación de un servicio mediante la consola.

2. Fuerce la cancelación del registro de todas las instancias de contenedor de todos los clústeres de todas las regiones. Para obtener más información, consulte Anulación del registro de una instancia de contenedor respaldada por Amazon EC2.

3. Elimine todos los clústeres de Amazon ECS de todas las regiones. Para obtener más información, consulte Eliminación de un clúster con la consola.

Cómo eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForECS servicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Amazon ECS

Amazon ECS admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Puntos de enlace y regiones de AWS.