Utilisation de rôles pour permettre à Amazon ECS de gérer des clusters - Amazon Elastic Container Service
Autorisations du rôle lié à un service pour Amazon ECSCréation d'un rôle lié à un service pour Amazon ECSModification d'un rôle lié à un service pour Amazon ECSSuppression d'un rôle lié à un service pour Amazon ECSRégions prises en charge pour les rôles liés à un service Amazon ECS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles pour permettre à Amazon ECS de gérer des clusters

Amazon Elastic Container Service utilise des AWS Identity and Access Management rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à Amazon ECS. Les rôles liés à un service sont prédéfinis par Amazon ECS et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Un rôle lié à un service simplifie la configuration d'Amazon ECS, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. Amazon ECS définit les autorisations de ses rôles liés à un service ; sauf définition contraire, seul Amazon ECS peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Vos ressources Amazon ECS sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l’autorisation d’accéder aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services qui fonctionnent avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôles liés à un service. Sélectionnez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.

Autorisations du rôle lié à un service pour Amazon ECS

Amazon ECS utilise le rôle lié au service nommé AWSServiceRoleForECS — Role pour permettre à Amazon ECS de gérer votre cluster.

Le rôle lié au service AWSService RoleFor ECS fait confiance aux services suivants pour assumer le rôle :

  • ecs.amazonaws.com

La politique d'autorisations de rôle nommée Amazon ECSService RolePolicy permet à Amazon ECS d'effectuer les actions suivantes sur les ressources spécifiées :

  • Action : lorsque vous utilisez le mode réseau de awsvpc pour vos tâches Amazon ECS, Amazon ECS gère le cycle de vie des interfaces réseau élastiques associées à la tâche. Cela inclut également les balises que Amazon ECS ajoute à vos interfaces réseau élastiques.

  • Action : lorsque vous utilisez un équilibreur de charge avec votre compte Amazon ECS, Amazon ECS gère l'enregistrement et l'annulation de l'enregistrement des ressources avec l'équilibreur de charge.

  • Action : lorsque vous utilisez la découverte de service Amazon ECS, Amazon ECS gère la Route 53 requise et les ressources AWS Cloud Map pour que la découverte de services fonctionne.

  • Action : Lorsque vous utilisez le service Amazon ECS Auto Scaling, Amazon ECS gère les ressources Amazon EC2 Auto Scaling requises.

  • Action : Amazon ECS crée et gère des CloudWatch alarmes et des flux de journaux qui facilitent la surveillance de vos ressources Amazon ECS.

  • Action : lorsque vous utilisez Amazon ECS Exec, Amazon ECS gère les autorisations nécessaires pour démarrer des sessions Amazon ECS Exec pour vos tâches.

  • Action : lorsque vous utilisez Amazon ECS Service Connect, Amazon ECS gère les ressources AWS Cloud Map requises pour utiliser la fonctionnalité.

  • Action : Lorsque vous utilisez des fournisseurs de capacité Amazon ECS, Amazon ECS gère les autorisations requises pour modifier le groupe Amazon EC2 Auto Scaling et ses EC2 instances Amazon.

  • Action : Amazon ECS peut mettre à jour les attributs de AWS Cloud Map service pour les services gérés par Amazon ECS.

  • Action : Amazon ECS peut invoquer Amazon EC2 Provisionnement et déprovisionnement ENI lors du démarrage et de l'arrêt de tâches.

  • Action : Amazon ECS peut récupérer Amazon EC2 Event Windows pour les services et les clusters associés à Event Windows.

Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.

Création d'un rôle lié à un service pour Amazon ECS

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un cluster, ou que vous créez ou mettez à jour un service dans l' AWS Management Console AWS CLI AWS API, Amazon ECS crée le rôle lié au service pour vous.

Important

Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Si vous utilisiez le service Amazon ECS avant le 1er janvier 2017, date à laquelle il a commencé à prendre en charge les rôles liés au service, Amazon ECS a créé le rôle AWSService RoleFor ECS dans votre compte. Pour en savoir plus, voir Un nouveau rôle est apparu dans mon Compte AWS.

Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le cas d'utilisation d'AWSServiceRoleForECS. Dans l'API AWS CLI ou dans l' AWS API, utilisez IAM pour créer un rôle lié à un service avec le nom du ecs.amazonaws.com service. Pour plus d’informations, consultez Création d’un rôle lié à un service dans le Guide de l’utilisateur IAM. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un cluster, ou lorsque vous créez ou mettez à jour un service, Amazon ECS crée à nouveau le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service, vous pouvez utiliser le même processus IAM pour recréer le rôle.

Modification d'un rôle lié à un service pour Amazon ECS

Amazon ECS ne vous permet pas de modifier le rôle lié au service AWSService RoleFor ECS. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Suppression d'un rôle lié à un service pour Amazon ECS

Il n'est pas nécessaire de supprimer manuellement le rôle AWSService RoleFor ECS. Lorsque vous supprimez des clusters dans toutes les régions de l'API AWS Management Console, de l' AWS API ou de l'API, Amazon ECS nettoie les ressources et supprime le rôle lié au service pour vous. AWS CLI

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.

Nettoyage d’un rôle lié à un service

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle.

Note

Si le service Amazon ECS utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer les ressources Amazon ECS utilisées par l' AWSServiceRoleForECS (console)

  1. Arrêtez tous les services Amazon ECS en indiquant 0 comme nombre souhaité dans toutes les régions, puis supprimez-les. Pour plus d’informations, consultez Mettre à jour un service Amazon ECS et Suppression d’un service Amazon ECS à l’aide de la console.

  2. Forcez l’annulation de l’enregistrement de toutes les instances de conteneur de tous les clusters dans toutes les régions. Pour de plus amples informations, veuillez consulter Annulation de l’enregistrement d’instance de conteneur Amazon ECS.

  3. Supprimez tous les clusters Amazon ECS dans toutes les régions. Pour de plus amples informations, veuillez consulter Suppression d’un cluster Amazon ECS..

Pour supprimer les ressources Amazon ECS utilisées par l' AWSServiceRoleForECS (AWS CLI)

  1. Arrêtez tous les services Amazon ECS en indiquant 0 comme nombre souhaité dans toutes les régions, puis supprimez-les. Pour plus d'informations, consultez update-service et delete-service dans la référence. AWS Command Line Interface

  2. Forcez l’annulation de l’enregistrement de toutes les instances de conteneur de tous les clusters dans toutes les régions. Pour de plus amples informations, veuillez consulter deregister-container-instance.

  3. Supprimez tous les clusters Amazon ECS dans toutes les régions. Pour en savoir plus, consultez la section delete-cluster.

Pour supprimer les ressources Amazon ECS utilisées par l' AWSServiceRoleForECS (API)

  1. Arrêtez tous les services Amazon ECS en indiquant 0 comme nombre souhaité dans toutes les régions, puis supprimez-les. Pour plus d'informations, consultez UpdateServiceet consultez DeleteServicele manuel Amazon ECS API Reference.

  2. Forcez l’annulation de l’enregistrement de toutes les instances de conteneur de tous les clusters dans toutes les régions. Pour de plus amples informations, veuillez consulter DeregisterContainerInstance.

  3. Supprimez tous les clusters Amazon ECS dans toutes les régions. Pour de plus amples informations, veuillez consulter DeleteCluster.

Suppression manuelle du rôle lié au service

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au service AWSService RoleFor ECS. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Régions prises en charge pour les rôles liés à un service Amazon ECS

Amazon ECS prend en charge l’utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez la section Régions et points de terminaison AWS.