Ruolo IAM di Amazon ECS Anywhere

Quando registri un server o una macchina virtuale (VM) locale nel tuo cluster, il server o la macchina virtuale richiede un ruolo IAM per comunicare con le API. AWS Devi creare questo ruolo IAM solo una volta per ogni account. AWS Tuttavia, questo ruolo IAM deve essere associato a ogni server o macchina virtuale registrato in un cluster. Questo ruolo è il ECSAnywhereRole. Puoi creare questo ruolo manualmente. In alternativa, Amazon ECS può creare il ruolo per tuo conto quando registri un'istanza esterna nella AWS Management Console. Puoi utilizzare la ricerca nella console IAM per cercare ecsAnywhereRole e vedere se il tuo account ha già il ruolo. Per ulteriori informazioni, consulta la ricerca nella console IAM nella guida per l'utente IAM.

AWS fornisce due policy IAM gestite che possono essere utilizzate durante la creazione del ruolo IAM ECS Anywhere, le AmazonEC2ContainerServiceforEC2Role policy AmazonSSMManagedInstanceCore e. La policy AmazonEC2ContainerServiceforEC2Role include autorizzazioni che probabilmente forniscono più accesso del necessario. Pertanto, a seconda del caso d'uso specifico, si consiglia di creare una policy personalizzata aggiungendo solo le autorizzazioni richieste da tale policy. Per ulteriori informazioni, consultare Ruolo IAM delle istanze di container Amazon ECS.

Il ruolo IAM di esecuzione del processo concede all'agente del container di Amazon ECS e agli agenti Fargate l'autorizzazione per effettuare chiamate API AWS per tuo conto. Quando viene utilizzato un ruolo IAM di esecuzione del processo, è necessario specificarlo nella definizione di attività. Per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS.

Il ruolo di esecuzione del processo è obbligatorio se si applica una delle seguenti condizioni:

Stai inviando i log dei container a CloudWatch Logs utilizzando il awslogs driver di registro.
La definizione di attività specifica un'immagine del container ospitata in un repository privato Amazon ECR. Tuttavia, se il ECSAnywhereRole ruolo associato alla tua istanza esterna include anche le autorizzazioni necessarie per estrarre immagini da Amazon ECR, non è necessario che il ruolo di esecuzione dell'attività le includa.

Creazione del ruolo Amazon ECS Anywhere

Sostituisci tutti gli input dell'utente con le tue informazioni.

Crea un file locale denominato ssm-trust-policy.json con la seguente politica di attendibilità.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {"Service": [
      "ssm.amazonaws.com"
    ]},
    "Action": "sts:AssumeRole"
  }
}

Crea il ruolo e allega la politica di fiducia utilizzando il AWS CLI comando seguente.


aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json

Allega le politiche AWS gestite utilizzando il comando seguente.


aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

Puoi anche utilizzare il flusso di lavoro IAM Custom Trust Policy per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) nella Guida per l'utente IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ruolo IAM delle istanze di container

Ruolo IAM dell'infrastruttura