Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
IAMPeran ECS infrastruktur Amazon
IAMPeran ECS infrastruktur Amazon memungkinkan Amazon ECS mengelola sumber daya infrastruktur di klaster Anda atas nama Anda, dan digunakan saat:
-
Anda ingin melampirkan EBS volume Amazon ke Fargate Anda atau EC2 meluncurkan tugas Amazon ECS jenis. Peran infrastruktur memungkinkan Amazon ECS mengelola EBS volume Amazon untuk tugas Anda.
-
Anda ingin menggunakan Transport Layer Security (TLS) untuk mengenkripsi lalu lintas antara ECS layanan Amazon Service Connect Anda.
Ketika Amazon ECS mengasumsikan peran ini untuk mengambil tindakan atas nama Anda, acara akan terlihat di AWS CloudTrail. Jika Amazon ECS menggunakan peran untuk mengelola EBS volume Amazon yang dilampirkan ke tugas Anda, CloudTrail log roleSessionName
akan menjadiECSTaskVolumesForEBS
. Jika peran digunakan untuk mengenkripsi lalu lintas antara layanan Service Connect Anda, CloudTrail log roleSessionName
akan menjadiECSServiceConnectForTLS
. Anda dapat menggunakan nama ini untuk mencari peristiwa di CloudTrail konsol dengan memfilter nama Pengguna.
Amazon ECS menyediakan kebijakan terkelola yang berisi izin yang diperlukan untuk lampiran volume danTLS. Untuk informasi selengkapnya lihat, A mazonECSInfrastructure RolePolicyForVolumes dan A mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity di Panduan Referensi Kebijakan AWS Terkelola.
Menciptakan peran ECS infrastruktur Amazon
Ganti semua user input
dengan informasi Anda sendiri.
-
Buat file bernama
ecs-infrastructure-trust-policy.json
yang berisi kebijakan kepercayaan yang akan digunakan untuk IAM peran tersebut. File tersebut harus berisi hal berikut:{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToECSForInfrastructureManagement", "Effect": "Allow", "Principal": { "Service": "ecs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Gunakan AWS CLI perintah berikut untuk membuat peran
ecsInfrastructureRole
bernama menggunakan kebijakan kepercayaan yang Anda buat di langkah sebelumnya.aws iam create-role \ --role-name
ecsInfrastructureRole
\ --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
-
Bergantung pada kasus penggunaan Anda, lampirkan
AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
kebijakanAmazonECSInfrastructureRolePolicyForVolumes
atau AWS terkelola keecsInfrastructureRole
peran tersebut.aws iam attach-role-policy \ --role-name
ecsInfrastructureRole
\ --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumesaws iam attach-role-policy \ --role-name
ecsInfrastructureRole
\ --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
Anda juga dapat menggunakan alur kerja kebijakan kepercayaan khusus IAM konsol untuk membuat peran. Untuk informasi selengkapnya, lihat Membuat peran menggunakan kebijakan kepercayaan khusus (konsol) di Panduan IAM Pengguna.
penting
Jika peran ECS infrastruktur digunakan oleh Amazon ECS untuk mengelola EBS volume Amazon yang dilampirkan ke tugas Anda, pastikan hal berikut sebelum Anda menghentikan tugas yang menggunakan EBS volume Amazon.
-
Peran tidak dihapus.
-
Kebijakan kepercayaan untuk peran tersebut tidak dimodifikasi untuk menghapus Amazon ECS access (
ecs.amazonaws.com
). -
Kebijakan terkelola
AmazonECSInfrastructureRolePolicyForVolumes
tidak dihapus. Jika Anda harus mengubah izin peran, setidaknya pertahankanec2:DetachVolume
ec2:DeleteVolume
, danec2:DescribeVolumes
untuk penghapusan volume.
Menghapus atau memodifikasi peran sebelum menghentikan tugas dengan EBS volume Amazon terlampir akan mengakibatkan tugas macet DEPROVISIONING
dan EBS volume Amazon terkait gagal dihapus. Amazon ECS akan secara otomatis mencoba lagi secara berkala untuk menghentikan tugas dan menghapus volume hingga izin yang diperlukan dipulihkan. Anda dapat melihat status lampiran volume tugas dan alasan status terkait dengan menggunakan DescribeTasksAPI.
Setelah Anda membuat file, Anda harus memberikan izin pengguna Anda untuk meneruskan peran ke AmazonECS.
Izin untuk meneruskan peran infrastruktur ke Amazon ECS
Untuk menggunakan IAM peran ECS infrastruktur, Anda harus memberikan izin kepada pengguna untuk meneruskan peran tersebut ke AmazonECS. Lampirkan iam:PassRole
izin berikut ke pengguna Anda. Ganti ecsInfrastructureRole
dengan nama peran infrastruktur yang Anda buat.
{ "Version": "2012-10-17", "Statement": [ { "Action": "iam:PassRole", "Effect": "Allow", "Resource": ["arn:aws:iam::*:role/
ecsInfrastructureRole
"], "Condition": { "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"} } } ] }
Untuk informasi selengkapnya tentang iam:Passrole
dan memperbarui izin untuk pengguna Anda, lihat Memberikan izin pengguna untuk meneruskan peran ke AWS layanan dan Mengubah izin untuk IAM pengguna di Panduan Pengguna.AWS Identity and Access Management