Ruolo IAM dell'infrastruttura Amazon ECS per i sistemi di bilanciamento del carico - Amazon Elastic Container Service
Creazione del ruolo dell'infrastruttura Amazon ECS per i sistemi di bilanciamento del caricoAutorizzazione a trasferire il ruolo di infrastruttura ad Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo IAM dell'infrastruttura Amazon ECS per i sistemi di bilanciamento del carico

Un ruolo IAM per i sistemi di bilanciamento del carico dell'infrastruttura Amazon ECS consente ad Amazon ECS di gestire le risorse di bilanciamento del carico nei cluster per tuo conto e viene utilizzato quando:

  • Vuoi utilizzare le blue/green distribuzioni con Amazon ECS. Il ruolo di infrastruttura consente ad Amazon ECS di gestire le risorse di bilanciamento del carico per le tue distribuzioni.

  • È necessario Amazon ECS per creare, modificare o eliminare risorse di bilanciamento del carico come gruppi target e listener durante le operazioni di distribuzione.

Quando Amazon ECS assume questo ruolo per intraprendere azioni per tuo conto, gli eventi saranno visibili in. AWS CloudTrail Se Amazon ECS utilizza il ruolo per gestire le risorse del bilanciamento del carico per le tue distribuzioni blu/green, il log sarà o. CloudTrail roleSessionName ECSNetworkingWithELB ecs-service-scheduler Puoi utilizzare questo nome per cercare eventi nella CloudTrail console filtrando in base al nome utente.

Amazon ECS fornisce una policy gestita che contiene le autorizzazioni necessarie per la gestione del bilanciamento del carico. Per ulteriori informazioni, consulta Amazon ECSInfrastructure RolePolicyForLoadBalancers nella AWS Managed Policy Reference Guide.

Creazione del ruolo dell'infrastruttura Amazon ECS per i sistemi di bilanciamento del carico

Sostituisci tutto user input con le tue informazioni.

  1. Crea un file denominato ecs-infrastructure-trust-policy.json contenente la policy di attendibilità da utilizzare per il ruolo IAM. Il file deve contenere il testo seguente:

    JSON
    {
  "Version": "2012-10-17", 
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Utilizzate il AWS CLI comando seguente per creare un ruolo denominato ecsInfrastructureRoleForLoadBalancers utilizzando la politica di fiducia creata nel passaggio precedente.

    aws iam create-role \
      --role-name ecsInfrastructureRoleForLoadBalancers \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. Allega la AmazonECSInfrastructureRolePolicyForLoadBalancers politica AWS gestita al ecsInfrastructureRoleForLoadBalancers ruolo.

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRoleForLoadBalancers \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForLoadBalancers

Puoi anche utilizzare il flusso di lavoro della Custom Trust Policy della console IAM per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) nella Guida per l'utente IAM.

Importante

Se il ruolo di infrastruttura viene utilizzato da Amazon ECS per gestire le risorse di bilanciamento del carico per le tue blue/green distribuzioni, verifica quanto segue prima di eliminare o modificare il ruolo:

  • Il ruolo non viene eliminato mentre sono in corso distribuzioni attive.

  • La policy di fiducia per il ruolo non viene modificata per rimuovere Amazon ECS access (ecs.amazonaws.com).

  • La policy gestita AmazonECSInfrastructureRolePolicyForLoadBalancers non viene rimossa mentre sono in corso implementazioni attive.

L'eliminazione o la modifica del ruolo durante le blue/green distribuzioni attive può causare errori di distribuzione e lasciare i servizi in uno stato incoerente.

Dopo aver creato il file, devi concedere all'utente l'autorizzazione a passare il ruolo ad Amazon ECS.

Autorizzazione a trasferire il ruolo di infrastruttura ad Amazon ECS

Per utilizzare un ruolo IAM dell'infrastruttura ECS per i sistemi di bilanciamento del carico, devi concedere all'utente l'autorizzazione a passare il ruolo ad Amazon ECS. Allega la seguente iam:PassRole autorizzazione al tuo utente. Sostituiscilo ecsInfrastructureRoleForLoadBalancers con il nome del ruolo di infrastruttura che hai creato.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRoleForLoadBalancers"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Per ulteriori informazioni iam:Passrole e sull'aggiornamento delle autorizzazioni per il tuo utente, consulta Concessione a un utente delle autorizzazioni per passare un ruolo a un AWS servizio e Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente.AWS Identity and Access Management