IAMRuolo ECS dell'infrastruttura Amazon - Amazon Elastic Container Service
Creazione del ruolo ECS dell'infrastruttura Amazon Autorizzazione a trasferire il ruolo di infrastruttura ad Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMRuolo ECS dell'infrastruttura Amazon

Un IAM ruolo di ECS infrastruttura Amazon consente ECS ad Amazon di gestire le risorse dell'infrastruttura nei tuoi cluster per tuo conto e viene utilizzato quando:

  • Vuoi allegare EBS volumi Amazon alle tue attività Fargate o EC2 avviare attività Amazon di tipo AmazonECS. Il ruolo di infrastruttura consente ECS ad Amazon di gestire i EBS volumi Amazon per le tue attività.

  • Vuoi utilizzare Transport Layer Security (TLS) per crittografare il traffico tra i tuoi servizi Amazon ECS Service Connect.

Quando Amazon ECS assume questo ruolo per agire per tuo conto, gli eventi saranno visibili in AWS CloudTrail. Se Amazon ECS utilizza il ruolo per gestire EBS i volumi Amazon collegati alle tue attività, il CloudTrail log roleSessionName saràECSTaskVolumesForEBS. Se il ruolo viene utilizzato per crittografare il traffico tra i servizi Service Connect, il CloudTrail registro roleSessionName saràECSServiceConnectForTLS. È possibile utilizzare questo nome per cercare eventi nella CloudTrail console filtrando in base al nome utente.

Amazon ECS fornisce politiche gestite che contengono le autorizzazioni necessarie per gli allegati di volume eTLS. Per ulteriori informazioni, consulta le sezioni A mazonECSInfrastructure RolePolicyForVolumes e A mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity nella AWS Managed Policy Reference Guide.

Creazione del ruolo ECS dell'infrastruttura Amazon

Sostituisci tutto user input con le tue informazioni.

  1. Crea un file denominato ecs-infrastructure-trust-policy.json che contenga la politica di fiducia da utilizzare per il IAM ruolo. Il file deve contenere il testo seguente:

    {
  "Version": "2012-10-17", 
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Utilizzate il AWS CLI comando seguente per creare un ruolo denominato ecsInfrastructureRole utilizzando la politica di fiducia creata nel passaggio precedente.

    aws iam create-role \
      --role-name ecsInfrastructureRole \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. A seconda del caso d'uso, collega il AWS gestore AmazonECSInfrastructureRolePolicyForVolumes o la AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity policy al ecsInfrastructureRole ruolo.

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

Puoi anche utilizzare il flusso di lavoro Custom Trust Policy della IAM console per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando criteri di fiducia personalizzati (console) nella Guida per l'IAMutente.

Importante

Se il ruolo di ECS infrastruttura viene utilizzato da Amazon ECS per gestire i EBS volumi Amazon collegati alle tue attività, verifica quanto segue prima di interrompere le attività che utilizzano EBS volumi Amazon.

  • Il ruolo non viene eliminato.

  • La politica di fiducia per il ruolo non viene modificata per rimuovere Amazon ECS access (ecs.amazonaws.com).

  • La policy gestita AmazonECSInfrastructureRolePolicyForVolumes non viene rimossa. Se devi modificare le autorizzazioni del ruolo, conservale almeno ec2:DetachVolume e ec2:DescribeVolumes per l'eliminazione di un volume. ec2:DeleteVolume

L'eliminazione o la modifica del ruolo prima di interrompere le attività con EBS volumi Amazon collegati comporterà il blocco delle attività DEPROVISIONING e la mancata eliminazione EBS dei volumi Amazon associati. Amazon ECS riproverà automaticamente a intervalli regolari per interrompere l'operazione ed eliminare il volume fino al ripristino delle autorizzazioni necessarie. Puoi visualizzare lo stato degli allegati al volume di un'attività e il motivo dello stato associato utilizzando il. DescribeTasksAPI

Dopo aver creato il file, devi concedere all'utente l'autorizzazione a passare il ruolo ad AmazonECS.

Autorizzazione a trasferire il ruolo di infrastruttura ad Amazon ECS

Per utilizzare un IAM ruolo di ECS infrastruttura, devi concedere all'utente l'autorizzazione a passare il ruolo ad AmazonECS. Allega la seguente iam:PassRole autorizzazione al tuo utente. Replace (Sostituisci) ecsInfrastructureRole con il nome del ruolo di infrastruttura che hai creato.

{
    "Version": "2012-10-17",
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Per ulteriori informazioni iam:Passrole e sull'aggiornamento delle autorizzazioni per l'utente, vedere Concessione a un utente delle autorizzazioni per passare un ruolo a un AWS servizio e Modifica delle autorizzazioni per un IAM utente nella Guida per l'utente.AWS Identity and Access Management