翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon ECS CodeDeploy IAM ロール
Amazon ECS で CodeDeploy Blue/Green デプロイタイプを使用する前に、 CodeDeploy サービスがユーザーに代わって Amazon ECS サービスを更新するためのアクセス許可が必要です。これらのアクセス許可は、 CodeDeploy IAM ロール () によって付与されますecsCodeDeployRole。
注記
ユーザーには、 を使用するアクセス許可も必要です CodeDeploy。これらのアクセス許可については、「」を参照してくださいアクセス権限が必要な Blue/Green デプロイ。
2 つの管理ポリシーが用意されています。以下に示されているAWSCodeDeployRoleForECSポリシーは、関連付けられた アクションを使用してリソースを更新する CodeDeploy アクセス許可を付与します。以下に示されているAWSCodeDeployRoleForECSLimitedポリシーでは、 CodeDeploy より限定的なアクセス許可が付与されます。
- AWSCodeDeployRoleForECS
-
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:DescribeServices", "ecs:CreateTaskSet", "ecs:UpdateServicePrimaryTaskSet", "ecs:DeleteTaskSet", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:ModifyRule", "lambda:InvokeFunction", "cloudwatch:DescribeAlarms", "sns:Publish", "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "*", "Effect": "Allow" }, { "Action": ["iam:PassRole"], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": ["ecs-tasks.amazonaws.com"] } } } ] } - AWSCodeDeployRoleForECSLimited
-
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:DescribeServices", "ecs:CreateTaskSet", "ecs:UpdateServicePrimaryTaskSet", "ecs:DeleteTaskSet", "cloudwatch:DescribeAlarms" ], "Resource": "*", "Effect": "Allow" }, { "Action": ["sns:Publish"], "Resource": "arn:aws:sns:*:*:CodeDeployTopic_*", "Effect": "Allow" }, { "Action": [ "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:ModifyRule" ], "Resource": "*", "Effect": "Allow" }, { "Action": ["lambda:InvokeFunction"], "Resource": "arn:aws:lambda:*:*:function:CodeDeployHook_*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "*", "Condition": { "StringEquals": {"s3:ExistingObjectTag/UseWithCodeDeploy": "true"} }, "Effect": "Allow" }, { "Action": ["iam:PassRole"], "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsTaskExecutionRole", "arn:aws:iam::*:role/ECSTaskExecution*" ], "Condition": { "StringLike": { "iam:PassedToService": ["ecs-tasks.amazonaws.com"] } } } ] }
AWSCodeDeployRoleForECS ロールの作成 CodeDeploy
次の手順を使用して、Amazon ECS の CodeDeploy ロールを作成できます。
- AWS Management Console
-
の IAM ロールを作成するには CodeDeploy
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで [Roles]、[Create role] の順に選択します。
-
[Select type of trusted entity (信頼されたエンティティの種類を選択)] で [AWS サービス] を選択します。
-
[Choose the service that will use this role] (このロールを使用するサービスを選択) で、CodeDeploy を選択します。
-
ユースケースの選択 で、CodeDeploy - ECS、Next を選択します。
-
「アクセス許可の追加」セクションで、以下を実行します。
-
AWSCodeDeployRoleForECS ポリシーが選択されていることを確認します。
-
[Set permissions boundary - optional] (許可境界の設定 - オプション) で、[Create role without a permissions boundary] (許可境界のないロールを作成する) を選択します。
-
[次へ] を選択します。
-
-
名前、レビュー、および作成で、以下を実行します。
-
[ロール名] に
ecsCodeDeployRoleと入力し、さらに必要に応じて説明を入力します。 -
[タグを追加 (オプション)] で、ポリシーに関連付けるカスタムタグを入力します。
-
-
[ロールの作成] を選択します。
- AWS CLI
-
すべての
ユーザー入力をユーザー自身の情報に置き換えます。-
CodeDeploy IAM ロールに使用する信頼ポリシー
codedeploy-trust-policy.jsonを含む という名前のファイルを作成します。{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": ["codedeploy.amazonaws.com"] }, "Action": "sts:AssumeRole" } ] } -
前のステップで作成した信頼ポリシーを使用した
ecsCodedeployRoleという名前の IAM ロールを作成します。aws iam create-role \ --role-nameecsCodedeployRole\ --assume-role-policy-document file://codedeploy-trust-policy.json -
ecsTaskRoleロールにAWSCodeDeployRoleForECSまたはAWSCodeDeployRoleForECSLimited管理ポリシーをアタッチします。aws iam attach-role-policy \ --role-nameecsCodedeployRole\ --policy-arn arn:aws::iam::aws:policy/AWSCodeDeployRoleForECSaws iam attach-role-policy \ --role-nameecsCodedeployRole\ --policy-arn arn:aws::iam::aws:policy/AWSCodeDeployRoleForECSLimited
-
ブルー/グリーンデプロイ用のアクセス許可の追加
Blue/Green デプロイタイプを使用する Amazon ECS サービスのタスクでタスク実行ロールまたはタスクロールの上書きを使用する必要がある場合は、各タスク実行ロールまたはタスクロールの上書きに対する アクセスiam:PassRole許可をポリシーとして CodeDeploy IAM ロールに追加する必要があります。詳細については、Amazon ECS タスク実行IAM ロールおよびタスク IAM ロールを参照してください。
このポリシーは、次の手順を使用して作成します。
- AWS Management Console
-
JSON ポリシーエディタでポリシーを作成するには
にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/
で IAM コンソールを開きます。 -
左側のナビゲーションペインで、[ポリシー] を選択します。
初めて [ポリシー] を選択する場合には、[管理ポリシーにようこそ] ページが表示されます。[今すぐ始める] を選択します。
-
ページの上部で、[ポリシーを作成] を選択します。
-
[ポリシーエディタ] セクションで、[JSON] オプションを選択します。
-
次の JSON ポリシードキュメントを入力します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"] } ] } -
[次へ] をクリックします。
注記
いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「IAM ユーザーガイド」の「ポリシーの再構成」を参照してください。
-
[確認と作成] ページで、作成するポリシーの [ポリシー名] と [説明] (オプション) を入力します。[このポリシーで定義されているアクセス許可] を確認して、ポリシーによって付与されたアクセス許可を確認します。
-
[ポリシーの作成] をクリックして、新しいポリシーを保存します。
ポリシーを作成したら、ポリシーを CodeDeploy ロールにアタッチします。ポリシーをロールにアタッチする方法については、「 AWS Identity and Access Management ユーザーガイド」の「ロールのアクセス許可ポリシーの変更 (コンソール)」を参照してください。
- AWS CLI
-
すべての
ユーザー入力をユーザー自身の情報に置き換えます。-
blue-green-iam-passrole.jsonというファイルを次の内容で作成します。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"] } ] } -
JSON ポリシードキュメントファイルを使用して IAM ポリシーを作成するには、次のコマンドを使用します。
aws iam create-policy \ --policy-namecdTaskExecutionPolicy\ --policy-document file://blue-green-iam-passrole.json -
次のコマンドを使用して、作成した IAM ポリシーの ARN を取得します。
aws iam list-policies --scope Local --query 'Policies[?PolicyName==`cdTaskExecutionPolicy`].Arn' -
次のコマンドを使用して、ポリシーを IAM ロールにアタッチします CodeDeploy。
aws iam attach-role-policy \ --role-nameecsCodedeployRole\ --policy-arn arn:aws:iam:111122223333:aws:policy/cdTaskExecutionPolicy
-
