Uso de roles vinculados al servicio para Amazon ECS - Amazon Elastic Container Service

Uso de roles vinculados al servicio para Amazon ECS

Amazon Elastic Container Service utiliza roles vinculados al servicio de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon ECS. El rol vinculado al servicio está predefinido por Amazon ECS e incluye todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado al servicio simplifica la configuración de Amazon ECS porque ya no tendrá que agregar manualmente los permisos requeridos. Amazon ECS define los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo Amazon ECS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-linked roles (Roles vinculados a servicios). Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados al servicio para Amazon ECS

Amazon ECS usa el rol vinculado al servicio denominado AWSServiceRoleForECS.

El rol vinculado al servicio AWSServiceRoleForECS depende de los siguientes servicios para asumir el rol:

  • ecs.amazonaws.com

La política de permisos de rol denominada AmazonECSServiceRolePolicy permite a Amazon ECS llevar a cabo las siguientes acciones en los recursos especificados:

  • Acción: al utilizar el modo de red awsvpc para las tareas de Amazon ECS, este administra el ciclo de vida de las interfaces de red elásticas asociadas a la tarea. Esto también incluye las etiquetas que Amazon ECS agrega a sus interfaces de red elástica.

  • Acción: al utilizar un equilibrador de carga con su servicio de Amazon ECS, este administra el registro y la anulación del registro de los recursos con el equilibrador de carga.

  • Acción: al utilizar la detección de servicios de Amazon ECS, este administra los recursos de AWS Cloud Map y Route 53 necesarios para que la detección de servicios funcione.

  • Acción: al utilizar el escalado automático de servicios de Amazon ECS, este administra los recursos de escalado automático necesarios.

  • Acción: Amazon ECS crea y administra alarmas y flujos de registro de CloudWatch que ayudan a la supervisión de sus recursos de Amazon ECS.

  • Acción: al utilizar Amazon ECS Exec, Amazon ECS administra los permisos necesarios para iniciar sesiones de Amazon ECS Exec en sus tareas.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado al servicio para Amazon ECS

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un clúster o crea o actualiza un servicio en la AWS Management Console, la AWS CLI, o la API de AWS, Amazon ECS crea el rol vinculado al servicio.

importante

Este rol vinculado al servicio puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol.

Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un clúster o crea o actualiza un servicio, Amazon ECS vuelve a crear el rol vinculado al servicio.

Edición de un rol vinculado al servicio para Amazon ECS

Amazon ECS no permite editar el rol vinculado al servicio AWSServiceRoleForECS. Después de crear un rol vinculado a servicios, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado al servicio para Amazon ECS

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de Amazon ECS utiliza el rol al intentar eliminar los recursos, se podría producir un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

Para comprobar si el rol vinculado a servicio tiene una sesión activa

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Roles y seleccione el nombre AWSServiceRoleForECS (no la casilla de verificación).

  3. En la página Summary, elija Access Advisor y revise la actividad reciente del rol vinculado a servicio.

    nota

    Si no está seguro de si Amazon ECS utiliza el rol AWSServiceRoleForECS, puede intentar eliminar el rol para comprobarlo. Si el servicio utiliza el rol, este no podrá eliminarse y podrá ver las regiones en las que se utiliza. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a servicios.

Para eliminar los recursos de Amazon ECS que utiliza el rol vinculado al servicio AWSServiceRoleForECS

Debe eliminar todos los clústeres de Amazon ECS de todas las regiones de AWS para poder eliminar el rol AWSServiceRoleForECS.

  1. Reduzca los servicios de Amazon ECS hasta el recuento deseado de 0 en todas las regiones y, a continuación, elimine los servicios. Para obtener más información, consulte Actualización de un servicio mediante la consola clásica y Eliminación de un servicio mediante la consola clásica.

  2. Fuerce la cancelación del registro de todas las instancias de contenedor de todos los clústeres de todas las regiones. Para obtener más información, consulte Anulación del registro de una instancia de contenedor respaldada por Amazon EC2 .

  3. Elimine todos los clústeres de Amazon ECS de todas las regiones. Para obtener más información, consulte Eliminación de un clúster mediante la consola clásica .

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForECS. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Amazon ECS

Amazon ECS admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte AWS regions and endpoints (Regiones y puntos de conexión de AWS).