IAMPeran ECS infrastruktur Amazon - Amazon Elastic Container Service
Menciptakan peran ECS infrastruktur Amazon Izin untuk meneruskan peran infrastruktur ke Amazon ECS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMPeran ECS infrastruktur Amazon

IAMPeran ECS infrastruktur Amazon memungkinkan Amazon ECS mengelola sumber daya infrastruktur di klaster Anda atas nama Anda, dan digunakan saat:

  • Anda ingin melampirkan EBS volume Amazon ke Fargate Anda atau EC2 meluncurkan tugas Amazon ECS jenis. Peran infrastruktur memungkinkan Amazon ECS mengelola EBS volume Amazon untuk tugas Anda.

  • Anda ingin menggunakan Transport Layer Security (TLS) untuk mengenkripsi lalu lintas antara ECS layanan Amazon Service Connect Anda.

Ketika Amazon ECS mengasumsikan peran ini untuk mengambil tindakan atas nama Anda, acara akan terlihat di AWS CloudTrail. Jika Amazon ECS menggunakan peran untuk mengelola EBS volume Amazon yang dilampirkan ke tugas Anda, CloudTrail log roleSessionName akan menjadiECSTaskVolumesForEBS. Jika peran digunakan untuk mengenkripsi lalu lintas antara layanan Service Connect Anda, CloudTrail log roleSessionName akan menjadiECSServiceConnectForTLS. Anda dapat menggunakan nama ini untuk mencari peristiwa di CloudTrail konsol dengan memfilter nama Pengguna.

Amazon ECS menyediakan kebijakan terkelola yang berisi izin yang diperlukan untuk lampiran volume danTLS. Untuk informasi selengkapnya lihat, A mazonECSInfrastructure RolePolicyForVolumes dan A mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity di Panduan Referensi Kebijakan AWS Terkelola.

Menciptakan peran ECS infrastruktur Amazon

Ganti semua user input dengan informasi Anda sendiri.

  1. Buat file bernama ecs-infrastructure-trust-policy.json yang berisi kebijakan kepercayaan yang akan digunakan untuk IAM peran tersebut. File tersebut harus berisi hal berikut:

    {
  "Version": "2012-10-17", 
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Gunakan AWS CLI perintah berikut untuk membuat peran ecsInfrastructureRole bernama menggunakan kebijakan kepercayaan yang Anda buat di langkah sebelumnya.

    aws iam create-role \
      --role-name ecsInfrastructureRole \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. Bergantung pada kasus penggunaan Anda, lampirkan AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity kebijakan AmazonECSInfrastructureRolePolicyForVolumes atau AWS terkelola ke ecsInfrastructureRole peran tersebut.

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

Anda juga dapat menggunakan alur kerja kebijakan kepercayaan khusus IAM konsol untuk membuat peran. Untuk informasi selengkapnya, lihat Membuat peran menggunakan kebijakan kepercayaan khusus (konsol) di Panduan IAM Pengguna.

penting

Jika peran ECS infrastruktur digunakan oleh Amazon ECS untuk mengelola EBS volume Amazon yang dilampirkan ke tugas Anda, pastikan hal berikut sebelum Anda menghentikan tugas yang menggunakan EBS volume Amazon.

  • Peran tidak dihapus.

  • Kebijakan kepercayaan untuk peran tersebut tidak dimodifikasi untuk menghapus Amazon ECS access (ecs.amazonaws.com).

  • Kebijakan terkelola AmazonECSInfrastructureRolePolicyForVolumes tidak dihapus. Jika Anda harus mengubah izin peran, setidaknya pertahankan ec2:DetachVolumeec2:DeleteVolume, dan ec2:DescribeVolumes untuk penghapusan volume.

Menghapus atau memodifikasi peran sebelum menghentikan tugas dengan EBS volume Amazon terlampir akan mengakibatkan tugas macet DEPROVISIONING dan EBS volume Amazon terkait gagal dihapus. Amazon ECS akan secara otomatis mencoba lagi secara berkala untuk menghentikan tugas dan menghapus volume hingga izin yang diperlukan dipulihkan. Anda dapat melihat status lampiran volume tugas dan alasan status terkait dengan menggunakan DescribeTasksAPI.

Setelah Anda membuat file, Anda harus memberikan izin pengguna Anda untuk meneruskan peran ke AmazonECS.

Izin untuk meneruskan peran infrastruktur ke Amazon ECS

Untuk menggunakan IAM peran ECS infrastruktur, Anda harus memberikan izin kepada pengguna untuk meneruskan peran tersebut ke AmazonECS. Lampirkan iam:PassRole izin berikut ke pengguna Anda. Ganti ecsInfrastructureRole dengan nama peran infrastruktur yang Anda buat.

{
    "Version": "2012-10-17",
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Untuk informasi selengkapnya tentang iam:Passrole dan memperbarui izin untuk pengguna Anda, lihat Memberikan izin pengguna untuk meneruskan peran ke AWS layanan dan Mengubah izin untuk IAM pengguna di Panduan Pengguna.AWS Identity and Access Management