Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruolo IAM delle istanze di container Amazon ECS
Le istanze di container Amazon ECS, incluse le istanze Amazon EC2 e quelle esterne, eseguono l'agente container Amazon ECS e richiedono un ruolo IAM affinché il servizio sappia che l'agente appartiene a te. Prima di avviare le istanze di container e registrarle in un cluster, devi creare un ruolo IAM per le istanze da utilizzare. Il ruolo viene creato nell'account che usi per accedere alla console o eseguire i comandi. AWS CLI
Importante
Se registri le istanze esterne nel cluster, il ruolo IAM utilizzato richiede anche le autorizzazioni di Systems Manager. Per ulteriori informazioni, consulta Ruolo IAM di Amazon ECS Anywhere.
Amazon ECS fornisce la policy IAM gestita da AmazonEC2ContainerServiceforEC2Role
che contiene le autorizzazioni necessarie per utilizzare il set completo di funzionalità di Amazon ECS. Questa policy gestita può essere associata a un ruolo IAM e alle istanze del container. In alternativa, è possibile utilizzare la policy gestita come guida durante la creazione di una policy personalizzata da utilizzare. Il ruolo dell'istanza del contenitore fornisce le autorizzazioni necessarie affinché l'agente contenitore Amazon ECS e il daemon Docker possano effettuare chiamate per tuo conto. AWS APIs Per ulteriori informazioni sulla policy gestita, consulta EC2ContainerServiceforEC2Ruolo di Amazon.
Amazon ECS supporta il lancio di istanze di container con una maggiore densità ENI utilizzando i tipi di istanze Amazon EC2 supportati. Quando utilizzi questa funzionalità, ti consigliamo di creare 2 ruoli di istanza di container. Abilita l'impostazione awsvpcTrunking
dell'account per un ruolo e utilizza quel ruolo per attività che richiedono il trunking ENI. Per informazioni sull'impostazione dell'awsvpcTrunking
account, vedere. Accedi alle ECS funzionalità di Amazon con le impostazioni dell'account
Creare il ruolo dell'istanza del contenitore
Importante
Se registri istanze esterne nel cluster, consulta Ruolo IAM di Amazon ECS Anywhere.
Puoi creare manualmente il ruolo e collegare la policy IAM gestita per le istanze di container in modo da consentire ad Amazon ECS di aggiungere le autorizzazioni per funzionalità e miglioramenti futuri man mano che vengono introdotti. Utilizza la seguente procedura per allegare la policy IAM gestita, se necessario.
Dopo aver creato il ruolo, aggiungi ulteriori autorizzazioni al ruolo per le seguenti funzionalità.
Funzionalità | Autorizzazioni aggiuntive |
---|---|
Amazon ECR ha l'immagine del contenitore |
|
Fai in modo che CloudWatch Logs monitori le istanze dei container | Monitoraggio delle autorizzazioni delle istanze dei container |
Ospita i file di configurazione in un bucket Amazon S3 |
Autorizzazioni Amazon ECR
Il ruolo dell'istanza di container Amazon ECS che usi con le tue istanze di container deve avere le seguenti autorizzazioni della policy IAM per Amazon ECR.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" } ] }
Se utilizzi la policy gestita AmazonEC2ContainerServiceforEC2Role
per le tue istanze di container, il tuo ruolo dispone già delle opportune autorizzazioni. Per verificare se il tuo ruolo supporta Amazon ECR, consulta Ruolo IAM per le istanze di container di Amazon ECS nella Guida per lo sviluppatore di Amazon Elastic Container.
Accesso in sola lettura ad Amazon S3
Archiviare le informazioni di configurazione in un bucket privato in Amazon S3 e concedere l'accesso in sola lettura al ruolo IAM dell'istanza di container è un modo sicuro e conveniente per permettere la configurazione delle istanze di container all'ora di avvio. Puoi archiviare una copia del tuo ecs.config
file in un bucket privato, utilizzare i dati EC2 utente di Amazon per installarlo AWS CLI e quindi copiare le informazioni di configurazione all'/etc/ecs/ecs.config
avvio dell'istanza.
Per ulteriori informazioni sulla creazione di un file ecs.config
, sull'archiviazione di tale file in Amazon S3 e sull'avvio di istanze con questa configurazione, consulta Memorizzazione della configurazione dell'istanza del contenitore Amazon ECS in Amazon S3.
Puoi utilizzare il seguente AWS CLI comando per consentire l'accesso in sola lettura ad Amazon S3 per il tuo ruolo di istanza di contenitore. ecsInstanceRole
Sostituiscilo con il nome del ruolo che hai creato.
aws iam attach-role-policy \ --role-name
ecsInstanceRole
\ --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
Puoi anche utilizzare la console IAM per aggiungere Amazon S3 read-only access (AmazonS3ReadOnlyAccess
) al tuo ruolo. Per ulteriori informazioni, consulta Aggiornamento delle autorizzazioni per un ruolo nella Guida per l'utente.AWS Identity and Access Management
Monitoraggio delle autorizzazioni delle istanze dei container
Prima che le istanze del contenitore possano inviare dati di log a CloudWatch Logs, devi creare una policy IAM per consentire all'agente Amazon ECS di scrivere i log delle applicazioni del cliente CloudWatch (normalmente gestiti tramite il driver). awslogs
Dopo aver creato la policy, allegala a. ecsInstanceRole