Amazon Elastic Container Service
開発者ガイド (API バージョン 2014-11-13)

Amazon ECS サービススケジューラ IAM ロール

Amazon ECS サービススケジューラは、ユーザーに代わって Amazon EC2 および Elastic Load Balancing の API を呼び出し、ロードバランサーを使ってコンテナインスタンスの登録および登録解除を行います。Amazon ECS サービスにロードバランサーをアタッチするには、それらのサービスの開始前に、使用する IAM ロールを作成する必要があります。この要件は、ロードバランサーで使用する予定のいずれの Amazon ECS サービスにも適用されます。

ほとんどの場合、Amazon ECS サービスロールは、コンソールの最初の実行時に自動的に作成されます。すでに Amazon ECS サービスロールにアカウントがあるかどうかを確認するには、次の手順を使用できます。

AmazonEC2ContainerServiceRole のポリシーを次に示します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:Describe*", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DeregisterTargets", "elasticloadbalancing:Describe*", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets" ], "Resource": "*" } ] }

注記

ec2:AuthorizeSecurityGroupIngress ルールは、将来の利用のために予約されています。Amazon ECS では、Elastic Load Balancing ロードバランサーまたは Amazon ECS コンテナインスタンスに関連付けられたセキュリティグループを自動的には更新しません。

IAM コンソールで ecsServiceRole を確認するには

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで [Roles (ロール) ] を選択します。

  3. ロールのリストで ecsServiceRole を検索します。ロールが見つからない場合、次の手順を使用してロールを作成します。ロールが存在する場合は、そのロールを選択して、アタッチされているポリシーを表示します。

  4. [Permissions] タブを選択します。

  5. [Managed Policies] セクションで、[AmazonEC2ContainerServiceRole] 管理ポリシーがロールにアタッチされていることを確認します。ポリシーがアタッチされている場合、Amazon ECS サービスのロールが適切に構成されています。そうでない場合、次のサブステップに従ってポリシーをアタッチします。

    1. [Attach Policy] を選択します。

    2. [フィルター] に AmazonEC2ContainerServiceRole と入力して、アタッチする利用可能なポリシーを絞り込みます。

    3. [AmazonEC2ContainerServiceRole] ポリシーの左にあるボックスをオンにし、[Attach Policy] を選択します。

  6. [Trust Relationship]、[Edit Trust Relationship] を選択します。

  7. 信頼関係に以下のポリシーが含まれていることを確認します。信頼関係が以下のポリシーと一致する場合、[Cancel] を選択します。信頼関係が一致しない場合、ポリシーを [Policy Document] ウィンドウにコピーし、[Update Trust Policy] を選択します。

    { "Version": "2008-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

サービススケジューラロードバランサーの IAM ロールを作成するには

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで [Roles]、[Create role] の順に選択します。

  3. [信頼されたエンティティの種類を選択] セクションで、[Elastic Container Service] を選択します。

  4. [ユースケースの選択] セクションで、[Elastic Container Service]、[Next: Permissions (次の手順: アクセス許可)] の順に選択します。

  5. [アタッチされたアクセス権限ポリシー] セクションで、[AmazonEC2ContainerServiceRole] ポリシー、[Next: Review (次の手順: 確認)] の順に選択します。

  6. [ロール名] ページで、ecsServiceRole と入力し、[ロールの説明] に入力してから [ロールの作成] を選択します。