AWS BatchIAM ロールの実行 - AWS Batch

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS BatchIAM ロールの実行

実行ロールは、Amazon ECS コンテナとAWS Fargateエージェントの作成権限AWSユーザーに代わって API を呼び出します。実行 IAM ロールは、タスクの要件に応じて必要です。さまざまな目的とサービスの実行ロールを、アカウントに関連付けることができます。

注記

実行ロールは Amazon ECS コンテナエージェントバージョン 1.16.0 以降でサポートされています。

Amazon ECS では、AmazonECSTaskExecutionRolePolicyこれは、上記の一般的なユースケースで必要なアクセス許可が含まれています。以下に示す特殊なユースケースのために、実行ロールへのインラインポリシーの追加が必要になる場合があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }

実行ロールは、AWS Batchコンソールの最初の実行時に発生します。ただし、タスクのためのマネージド型 IAM ポリシーを手動でアタッチして、Amazon ECS で今後の新機能および機能拡張のためのアクセス許可を追加できるようにする必要があります。次の手順を使用してアカウントに既に実行ロールが存在するか確認し、必要に応じてマネージド IAM ポリシーをアタッチすることができます。

IAM コンソールで ecsTaskExecutionRole を確認するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles (ロール) ] を選択します。

  3. ロールのリストで ecsTaskExecutionRole を検索します。ロールが存在しない場合は、「実行 IAM ロールの作成」を参照してください。ロールが存在する場合は、そのロールを選択して、アタッチされているポリシーを表示します。

  4. リポジトリの []アクセス許可タブで、AmazonECSTaskExecutionRolePolicy管理ポリシーがロールにアタッチされます。ポリシーがアタッチされている場合、実行ロールは適切に設定されています。そうでない場合、次のサブステップに従ってポリシーをアタッチします。

    1. [ポリシーのアタッチ] を選択します。

    2. [フィルター] に AmazonECSTaskExecutionRolePolicy と入力して、アタッチする利用可能なポリシーを絞り込みます。

    3. [AmazonECSTaskExecutionRolePolicy] ポリシーの左にあるボックスをオンにし、[Attach policy] を選択します。

  5. [信頼関係]、[信頼関係の編集] の順に選択します。

  6. 信頼関係に以下のポリシーが含まれていることを確認します。信頼関係が以下のポリシーと一致する場合、[Cancel] を選択します。信頼関係が一致しない場合、ポリシーを [Policy Document] ウィンドウにコピーし、[Update Trust Policy] を選択します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs-tasks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

実行 IAM ロールの作成

アカウントにまだ実行ロールがない場合は、次のステップに従ってロールを作成します。

を作成するにはecsTaskExecutionRoleIAM ロール

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles]、[Create role] の順に選択します。

  3. 信頼されたエンティティのタイプを選択] セクションで、AWSservice

  4. ユースケースの選択] セクションで、[] をクリックします。または、サービスを選択してそのユースケースを表示する] セクションで、エラスティックコンテナサービス

  5. を使用する場合ユースケースの選択] で、エラスティックコンテナーサービスのタスク[]、[次へ: アクセス許可.

  6. アクセス許可ポリシーをアタッチする] セクションで、[] を検索します。AmazonECSTaskExecutionRolePolicy] を選択し、[] ポリシーを選択した後、[] を選択します。次へ: タグを選択し、次へ: 確認.

  7. [Role Name] に ecsTaskExecutionRole と入力し、[Create role] を選択します。