Amazon ECS の IAM ロール - Amazon Elastic Container Service

Amazon ECS の IAM ロール

IAM ロールは、特定の許可があり、 アカウントで作成できる IAM アイデンティティです。Amazon ECS では、コンテナやサービスなどの Amazon ECS リソースにアクセス許可を付与するロールを作成できます。

Amazon ECS が必要とするロールは、タスク定義の起動タイプと使用する機能によって異なります。次の表を参照して、Amazon ECS に必要な IAM ロールを決定します。

ロール 定義 必要な場合 詳細情報
タスク実行ロール このロールにより、Amazon ECS がお客様に代わって他の AWS サービスを利用できるようにします。

タスクは AWS Fargate または外部インスタンスホストされています。また、

  • Amazon ECR プライベートリポジトリからコンテナイメージをプルします。

  • タスクを実行するアカウントとは別のアカウントの Amazon ECR プライベートリポジトリからコンテナイメージをプルします。

  • awslogs ログドライバーを使用して CloudWatch Logs にコンテナログを送信します。

タスクは、AWS Fargate または Amazon EC2 インスタンスでホストされています。また、

  • プライベートレジストリの認証を使用します。

  • Runtime Monitoring を使用します。

  • タスク定義は、Secrets Manager のシークレットまたは AWS Systems Manager Parameter Store のパラメータを使用して機密データを参照します。

 Amazon ECS タスク実行IAM ロール
タスクロール このロールにより、(コンテナ上の) アプリケーションコードが他の AWS サービスを使用できるようになります。 アプリケーションは、Amazon S3 などの他の AWS サービスにアクセスします。 Amazon ECS タスクの IAM ロール
コンテナインスタンスのロール このロールにより、EC2 インスタンスまたは外部インスタンスをクラスターに登録できます。 タスクは Amazon EC2 インスタンスまたは外部インスタンスでホストされています。 Amazon ECS コンテナインスタンスの IAM ロール
Amazon ECS Anywhere ロール このロールにより、外部インスタンスが AWS API にアクセスできるようになります。 タスクは外部インスタンスでホストされています。 Amazon ECS Anywhere IAM ロール
Amazon ECS CodeDeploy ロール このロールにより、CodeDeploy はサービスを更新できます。 CodeDeploy のブルー/グリーンデプロイタイプを使用して、サービスをデプロイします。 Amazon ECS CodeDeploy IAM ロール
Amazon ECS EventBridge ロール このロールにより、EventBridge はサービスを更新できます。 EventBridge のルールとターゲットを使用してタスクをスケジュールします。 Amazon ECS EventBridge IAM ロール
Amazon ECS インフラストラクチャロール このロールにより、Amazon ECS はクラスター内のインフラストラクチャリソースを管理できます。

  • Amazon EBS ボリュームを Fargate または EC2 起動タイプの Amazon ECS タスクにアタッチできます。インフラストラクチャロールにより、Amazon ECS はタスクの Amazon EBS ボリュームを管理できます。

  • Amazon ECS Service Connect サービス間のトラフィックを暗号化するには、Transport Layer Security (TLS) を使用します。

 Amazon ECS インフラストラクチャ IAM ロール