AWS Batch実行 IAM ロール - AWS Batch

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Batch実行 IAM ロール

実行ロールは、Amazon ECS コンテナとAWS Fargateエージェントに権限を付与するAWSユーザーに代わって API を呼び出します。実行 IAM ロールは、タスクの要件に応じて必要です。さまざまな目的とサービスの実行ロールを、アカウントに関連付けることができます。

注記

実行ロールは、Amazon ECS コンテナエージェントバージョン 1.16.0 以降でサポートされています。

Amazon ECS は、という名前の管理ポリシーを提供します。AmazonECSTaskExecutionRolePolicyには、上記の一般的なユースケースで必要なアクセス許可が含まれています。以下に示す特殊なユースケースのために、実行ロールへのインラインポリシーの追加が必要になる場合があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }

実行ロールは、AWS Batchコンソールの最初の実行時。ただし、タスクのためのマネージド IAM ポリシーを手動でアタッチして Amazon ECS に今後の新機能および機能拡張のためのアクセス許可を追加できるようにする必要があります。次の手順を使用してアカウントに既に実行ロールが存在するか確認し、必要に応じてマネージド IAM ポリシーをアタッチすることができます。

をチェックするにはecsTaskExecutionRoleIAM コンソールで

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles (ロール) ] を選択します。

  3. ロールのリストで ecsTaskExecutionRole を検索します。ロールが存在しない場合は、「Execution IAM ロールの作成」を参照してください。ロールが存在する場合は、そのロールを選択して、アタッチされているポリシーを表示します。

  4. リポジトリの []アクセス許可タブで、AmazonECSTaskExecutionRolePolicy管理ポリシーがロールにアタッチされます。ポリシーがアタッチされている場合、実行ロールは適切に設定されています。そうでない場合、次のサブステップに従ってポリシーをアタッチします。

    1. ポリシーの添付を選択します。

    2. [フィルター] に AmazonECSTaskExecutionRolePolicy と入力して、アタッチする利用可能なポリシーを絞り込みます。

    3. [AmazonECSTaskExecutionRolePolicy] ポリシーの左にあるボックスをオンにし、[Attach policy] を選択します。

  5. [信頼関係]、[信頼関係の編集] の順に選択します。

  6. 信頼関係に以下のポリシーが含まれていることを確認します。信頼関係が以下のポリシーと一致する場合、[Cancel] を選択します。信頼関係が一致しない場合、ポリシーを [Policy Document] ウィンドウにコピーし、[Update Trust Policy] を選択します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs-tasks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Execution IAM ロールの作成

アカウントにまだ実行ロールがない場合は、次のステップに従ってロールを作成します。

を作成するにはecsTaskExecutionRoleIAM ロール

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles]、[Create role] の順に選択します。

  3. 信頼されたエンティティのタイプを選択[] セクションを選択し、[AWSのサービス

  4. ユースケースを選択する「」セクション、または、サービスを選択してそのユースケースを表示[] セクションを選択し、[エラスティックコンテナサービス

  5. を使用する場合ユースケースの選択で、Elastic Containerを選択し、[] を選択します。次へ: アクセス許可.

  6. アクセス権限ポリシーのアタッチセクション、検索AmazonECSTaskExecutionRolePolicyのポリシーを選択し、[] を選択します。次へ: タグとし、次へ: 確認.

  7. [Role Name] に ecsTaskExecutionRole と入力し、[Create role] を選択します。