Création du rôle d'infrastructure Amazon ECS Autorisation de transmettre le rôle d'infrastructure à Amazon ECS

Rôle IAM dans l'infrastructure Amazon ECS

Un rôle IAM dans l'infrastructure Amazon ECS permet à Amazon ECS de gérer les ressources d'infrastructure de vos clusters en votre nom. Il est utilisé lorsque :

Vous souhaitez associer des volumes Amazon EBS à vos tâches Amazon ECS de type Fargate ou EC2 de type lancement. Le rôle d'infrastructure permet à Amazon ECS de gérer les volumes Amazon EBS pour vos tâches.
Vous souhaitez utiliser le protocole TLS (Transport Layer Security) pour chiffrer le trafic entre vos services Amazon ECS Service Connect.

Lorsqu'Amazon ECS assume ce rôle pour prendre des mesures en votre nom, les événements seront visibles dans AWS CloudTrail. Si Amazon ECS utilise le rôle pour gérer les volumes Amazon EBS associés à vos tâches, le CloudTrail journal le roleSessionNamefolefole seraECSTaskVolumesForEBS. Si le rôle est utilisé pour chiffrer le trafic entre vos services Amazon ECS Service Connect, le CloudTrail journal le roleSessionName seraECSServiceConnectForTLS. Vous pouvez utiliser ce nom pour rechercher des événements dans la CloudTrail console en filtrant par nom d'utilisateur.

Amazon ECS fournit des politiques gérées qui contiennent les autorisations requises pour l'attachement de volumes et le protocole TLS. Pour plus d'informations, consultez AmazonECS InfrastructureRole PolicyFor Volumes et AmazonECS InfrastructureRole PolicyForServiceConnectTransportLayerSecurity dans le AWS Managed Policy Reference Guide.

Création du rôle d'infrastructure Amazon ECS

Remplacez toutes les entrées utilisateur par vos propres informations.

Créez un fichier nommé ecs-infrastructure-trust-policy.json contenant la stratégie d'approbation à utiliser pour le rôle IAM. Le fichier doit contenir ce qui suit :


{
  "Version": "2012-10-17", 
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

Utilisez la AWS CLI commande suivante pour créer un rôle nommé ecsInfrastructureRole en utilisant la politique de confiance que vous avez créée à l'étape précédente.
```
aws iam create-role \
      --role-name ecsInfrastructureRole \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
```

Selon votre cas d'utilisation, associez le AWS gestionnaire AmazonECSInfrastructureRolePolicyForVolumes ou la AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity politique au ecsInfrastructureRole rôle.


aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes


aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

Vous pouvez également utiliser le flux de travail de politique de confiance personnalisée de la console IAM pour créer le rôle. Pour plus d'informations, consultez la section Création d'un rôle à l'aide de politiques de confiance personnalisées (console) dans le guide de l'utilisateur IAM.

Important

Si le rôle d'infrastructure ECS est utilisé par Amazon ECS pour gérer les volumes Amazon EBS associés à vos tâches, assurez-vous de ce qui suit avant d'arrêter les tâches qui utilisent des volumes Amazon EBS.

Le rôle n'est pas supprimé.
La politique de confiance associée au rôle n'est pas modifiée pour supprimer l'accès Amazon ECS (ecs.amazonaws.com).
La politique gérée AmazonECSInfrastructureRolePolicyForVolumes n'est pas supprimée. Si vous devez modifier les autorisations du rôle, conservez-les au moins ec2:DetachVolumeec2:DeleteVolume, et ec2:DescribeVolumes pour la suppression du volume.

Si vous supprimez ou modifiez le rôle avant d'arrêter les tâches associées à des volumes Amazon EBS, les tâches resteront bloquées DEPROVISIONING et les volumes Amazon EBS associés ne seront pas supprimés. Amazon ECS réessaiera automatiquement à intervalles réguliers d'arrêter la tâche et de supprimer le volume jusqu'à ce que les autorisations nécessaires soient rétablies. Vous pouvez consulter l'état d'attachement au volume d'une tâche et la raison du statut associée à l'aide de l'DescribeTasksAPI.

Après avoir créé le fichier, vous devez autoriser votre utilisateur à transmettre le rôle à Amazon ECS.

Autorisation de transmettre le rôle d'infrastructure à Amazon ECS

Pour utiliser un rôle IAM dans l'infrastructure ECS, vous devez accorder à votre utilisateur l'autorisation de transmettre le rôle à Amazon ECS. Attachez l'iam:PassRoleautorisation suivante à votre utilisateur. Remplacez ecs InfrastructureRole par le nom du rôle d'infrastructure que vous avez créé.


{
    "Version": "2012-10-17",
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Pour plus d'informations sur les autorisations de votre utilisateur iam:Passrole et leur mise à jour, consultez les sections Octroi à un utilisateur des autorisations lui permettant de transférer un rôle à un AWS service et Modification des autorisations d'un utilisateur IAM dans le guide de l'AWS Identity and Access Management utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Rôle IAM dans Amazon ECS Anywhere

CodeDeploy Rôle IAM