Rôle IAM de l'infrastructure Amazon ECS pour les équilibreurs de charge - Amazon Elastic Container Service
Création du rôle d'infrastructure Amazon ECS pour les équilibreurs de chargeAutorisation de transmettre le rôle d'infrastructure à Amazon ECS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle IAM de l'infrastructure Amazon ECS pour les équilibreurs de charge

Un rôle IAM dans l'infrastructure Amazon ECS pour les équilibreurs de charge permet à Amazon ECS de gérer les ressources des équilibreurs de charge dans vos clusters en votre nom. Il est utilisé lorsque :

  • Vous souhaitez utiliser des blue/green déploiements avec Amazon ECS. Le rôle d'infrastructure permet à Amazon ECS de gérer les ressources de l'équilibreur de charge pour vos déploiements.

  • Vous avez besoin d'Amazon ECS pour créer, modifier ou supprimer des ressources d'équilibrage de charge telles que des groupes cibles et des écouteurs lors des opérations de déploiement.

Lorsqu'Amazon ECS assume ce rôle pour prendre des mesures en votre nom, les événements seront visibles dans AWS CloudTrail. Si Amazon ECS utilise le rôle pour gérer les ressources de l'équilibreur de charge pour vos déploiements bleu/vert, le CloudTrail journal roleSessionName sera ou. ECSNetworkingWithELB ecs-service-scheduler Vous pouvez utiliser ce nom pour rechercher des événements dans la CloudTrail console en filtrant par nom d'utilisateur.

Amazon ECS fournit une politique gérée qui contient les autorisations requises pour la gestion de l'équilibreur de charge. Pour plus d'informations, consultez Amazon ECSInfrastructure RolePolicyForLoadBalancers dans le AWS Managed Policy Reference Guide.

Création du rôle d'infrastructure Amazon ECS pour les équilibreurs de charge

Remplacez tout user input par vos propres informations.

  1. Créez un fichier nommé ecs-infrastructure-trust-policy.json contenant la stratégie d'approbation à utiliser pour le rôle IAM. Le fichier doit contenir ce qui suit :

    JSON
    {
  "Version": "2012-10-17", 
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Utilisez la AWS CLI commande suivante pour créer un rôle nommé ecsInfrastructureRoleForLoadBalancers en utilisant la politique de confiance que vous avez créée à l'étape précédente.

    aws iam create-role \
      --role-name ecsInfrastructureRoleForLoadBalancers \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. Associez la AmazonECSInfrastructureRolePolicyForLoadBalancers politique AWS gérée au ecsInfrastructureRoleForLoadBalancers rôle.

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRoleForLoadBalancers \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForLoadBalancers

Vous pouvez également utiliser le flux de travail de politique de confiance personnalisée de la console IAM pour créer le rôle. Pour plus d'informations, consultez la section Création d'un rôle à l'aide de politiques de confiance personnalisées (console) dans le guide de l'utilisateur IAM.

Important

Si le rôle d'infrastructure est utilisé par Amazon ECS pour gérer les ressources de l'équilibreur de charge pour vos blue/green déploiements, assurez-vous de ce qui suit avant de supprimer ou de modifier le rôle :

  • Le rôle n'est pas supprimé lorsque les déploiements actifs sont en cours.

  • La politique de confiance associée au rôle n'est pas modifiée pour supprimer l'accès Amazon ECS (ecs.amazonaws.com).

  • La politique gérée AmazonECSInfrastructureRolePolicyForLoadBalancers n'est pas supprimée lorsque les déploiements actifs sont en cours.

La suppression ou la modification du rôle pendant blue/green les déploiements actifs peut entraîner des échecs de déploiement et laisser vos services dans un état incohérent.

Après avoir créé le fichier, vous devez accorder à votre utilisateur l'autorisation de transmettre le rôle à Amazon ECS.

Autorisation de transmettre le rôle d'infrastructure à Amazon ECS

Pour utiliser un rôle IAM d'infrastructure ECS pour les équilibreurs de charge, vous devez accorder à votre utilisateur l'autorisation de transmettre le rôle à Amazon ECS. Attachez l'iam:PassRoleautorisation suivante à votre utilisateur. ecsInfrastructureRoleForLoadBalancersRemplacez-le par le nom du rôle d'infrastructure que vous avez créé.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRoleForLoadBalancers"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Pour plus d'informations sur les autorisations de votre utilisateur iam:Passrole et leur mise à jour, consultez les sections Octroi à un utilisateur des autorisations lui permettant de transférer un rôle à un AWS service et Modification des autorisations d'un utilisateur IAM dans le guide de l'AWS Identity and Access Management utilisateur.