Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôle IAM d'instance de conteneur Amazon ECS
Les instances de conteneur Amazon ECS, y compris Amazon EC2 et les instances externes, exécutent l'agent de conteneur Amazon ECS et utilisent un rôle IAM pour indiquer au service que l'agent vous appartient. Avant de pouvoir lancer des instances de conteneur et de les enregistrer dans un cluster, vous devez créer le rôle IAM qu'elles utiliseront. Le rôle est créé dans le compte que vous utilisez pour vous connecter à la console ou exécuter les AWS CLI commandes.
Important
Si vous enregistrez des instances externes dans votre cluster, le rôle IAM que vous utilisez nécessite également des autorisations Systems Manager. Pour plus d’informations, consultez Rôle IAM dans Amazon ECS Anywhere.
Amazon ECS fournit le fichier de stratégie IAM gérée AmazonEC2ContainerServiceforEC2Role
qui contient les autorisations nécessaires à l'utilisation de l'ensemble complet de fonctions Amazon ECS. Cette stratégie gérée peut être attachée à un rôle IAM et associée à vos instances de conteneur. Sinon, vous pouvez utiliser la stratégie gérée comme guide lorsque vous créez une stratégie personnalisée à utiliser. Le rôle d'instance de conteneur fournit les autorisations nécessaires à l'agent de conteneur Amazon ECS et au daemon Docker pour appeler des AWS API en votre nom. Pour de plus amples informations sur la stratégie gérée, veuillez consulter Rôle Amazon EC2 EC2 ContainerServicefor.
Amazon ECS prend en charge le lancement d'instances de conteneur avec une augmentation de la densité ENI et utilisant des types d'instances Amazon EC2 pris en charge. Lorsque vous utilisez cette fonctionnalité, nous vous recommandons de créer deux rôles d'instance de conteneur. Activez le paramètre du awsvpcTrunking
compte pour un rôle et utilisez ce rôle pour les tâches nécessitant une jonction ENI. Pour plus d'informations sur le paramétrage du awsvpcTrunking
compte, consultezAccédez aux fonctionnalités d'Amazon ECS avec les paramètres du compte.
Création du rôle d'instance de conteneur
Important
Si vous enregistrez des instances externes dans votre cluster, veuillez consulter Rôle IAM dans Amazon ECS Anywhere.
Vous pouvez créer et associer manuellement le rôle à la politique IAM gérée pour les instances de conteneur afin de permettre à Amazon ECS d'ajouter des autorisations pour les futures fonctionnalités et améliorations au fur et à mesure qu'elles sont introduites. Utilisez la procédure suivante pour joindre la politique IAM gérée si nécessaire.
Après avoir créé le rôle, ajoutez-y des autorisations supplémentaires pour les fonctionnalités suivantes.
Fonctionnalité |
Autorisations supplémentaires |
---|---|
Amazon ECR contient l'image du conteneur |
|
Demandez à CloudWatch Logs de surveiller les instances de conteneur | |
Fichiers de configuration de l'hôte dans un compartiment Amazon S3 |
Autorisations Amazon ECR
Le rôle d'instance de conteneur Amazon ECS que vous utilisez avec vos instances de conteneur doit disposer des autorisations de politique IAM suivantes pour Amazon ECR.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" } ] }
Si vous utilisez la stratégie gérée AmazonEC2ContainerServiceforEC2Role
pour vos instances de conteneurs, votre rôle possède les autorisations appropriées. Pour vérifier si votre rôle prend en charge Amazon ECR, consultez Rôle IAM d'instance de conteneur Amazon ECS dans le Guide du développeur de service de conteneur Amazon Elastic.
Accès en lecture seule à Amazon S3
Stocker les informations de configuration dans un compartiment privé d'Amazon S3 et accorder un accès en lecture seule au rôle IAM de votre instance de conteneur est un moyen pratique et sécurisé d'autoriser la configuration d'une instance de conteneur au moment du lancement. Vous pouvez stocker une copie de votre ecs.config
fichier dans un compartiment privé, utiliser les données utilisateur Amazon EC2 pour l'installer, AWS CLI puis copier vos informations de configuration au /etc/ecs/ecs.config
moment du lancement de l'instance.
Pour plus d'informations sur la création d'un fichier ecs.config
, son stockage dans Amazon S3 et le lancement d'instances avec cette configuration, veuillez consulter Stockage de la configuration de l'instance de conteneur Amazon ECS dans Amazon S3.
Vous pouvez utiliser la AWS CLI commande suivante pour autoriser l'accès en lecture seule à Amazon S3 pour votre rôle d'instance de conteneur. ecsInstanceRole
Remplacez-le par le nom du rôle que vous avez créé.
aws iam attach-role-policy \ --role-name
ecsInstanceRole
\ --policy-arn arn:aws::iam::aws:policy/AmazonS3ReadOnlyAccess
Vous pouvez également utiliser la console IAM pour ajouter un accès en lecture seule (AmazonS3ReadOnlyAccess
) à Amazon S3 à votre rôle. Pour plus d'informations, consultez la section Modification d'une politique d'autorisations de rôle (console) dans le Guide de AWS Identity and Access Management l'utilisateur.
Surveillance des autorisations des instances de conteneurs
Avant que vos instances de conteneur puissent envoyer des données de journal à CloudWatch Logs, vous devez créer une stratégie IAM pour permettre à vos instances de conteneur d'utiliser les API CloudWatch Logs, puis vous devez associer cette politique àecsInstanceRole
.