Amazon ECS컨테이너 인스턴스IAM역할 - Amazon Elastic Container Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon ECS컨테이너 인스턴스IAM역할

Amazon ECS컨테이너 인스턴스 (둘 다 포함)Amazon EC2및 외부 인스턴스에 대해Amazon ECS컨테이너 에이전트를 사용하고IAM역할이 에이전트가 사용자에 속해 있음을 알 수 있도록 합니다. 컨테이너 인스턴스를 시작해 클러스터에 등록하기 전에 컨테이너의 인스턴스를 시작해 클러스터에 등록하기 전에 컨테이너의 인스턴스를 시작해IAM역할에 대한 컨테이너 인스턴스가 사용할 수 있도록 합니다.

중요

외부 인스턴스를 클러스터에 등록하는 경우IAM역할을 사용하려면Systems Manager권한도 있습니다. 자세한 정보는 필수IAM외부 인스턴스에 대한 사용 권한을 참조하십시오.

Amazon ECS에서 제공하는AmazonEC2ContainerServiceforEC2Role관리형IAM전체 사용 권한을 포함하는 정책을Amazon ECS기능 집합을 선택합니다. 이 관리형 정책은IAM역할과 컨테이너 인스턴스와 연결되어 있습니다. 또는 사용할 사용자 지정 정책을 생성할 때 관리형 정책을 지침으로 사용할 수도 있습니다. 컨테이너 인스턴스 역할은 컨테이너 인스턴스 역할에 필요한 권한을 제공합니다.Amazon ECS컨테이너 에이전트 및 Docker 데몬을 호출하여AWS사용자를 대신하여 API를 사용합니다. 관리형 정책에 대한 자세한 내용은 단원을 참조하십시오.AmazonEC2ContainerServiceforEC2Role.

생성Amazon ECS컨테이너 인스턴스IAM역할

중요

클러스터에 외부 인스턴스를 등록하는 경우필수IAM외부 인스턴스에 대한 사용 권한.

이Amazon ECS인스턴스 역할이 생성되면 자동으로 생성됩니다.Amazon ECS콘솔 최초 실행 환경을 제공합니다. 그러나 수동으로 역할을 만들고 관리되는IAM컨테이너 인스턴스에 대한Amazon ECS를 사용하여 향후 기능 및 개선이 도입될 때 이에 대한 권한을 추가할 수 있습니다. 다음 절차에 따라 계정에 이미Amazon ECS컨테이너 인스턴스IAM역할을 연결하고 관리되는IAM정책 (필요한 경우).

IAM 콘솔에서 ecsInstanceRole를 확인하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 역할을 선택합니다.

  3. 역할 목록에서 ecsInstanceRole을 검색합니다. 역할이 없으면 다음 섹션의 절차를 사용하여 역할을 생성합니다. 역할이 존재하지 않을 경우, 연결된 정책을 볼 역할을 선택합니다.

  4. [Permissions] 탭을 선택합니다.

  5. 에서권한 정책섹션에 대한 자세한 내용은AmazonEC2ContainerServiceforEC2Role관리형 정책 또는 이와 동등한 사용자 지정 정책이 역할에 연결됩니다. 정책이 연결된 경우 컨테이너 인스턴스 역할이 적절히 구성된 것입니다. 그렇지 않다면 아래의 하위 단계에 따라 정책을 연결합니다.

    중요

    The AmazonEC2ContainerServiceforEC2Role managed policy should be attached to the container instance IAM role, otherwise you will receive an error using the AWS Management Console to create clusters.

    1. 정책 연결을 선택합니다.

    2. 에서정책 필터링 정책검색 상자에 입력AmazonEC2ContainerServiceforEC2Role을 클릭하여 연결에 사용할 수 있는 정책의 범위를 좁힙니다.

    3. 왼쪽에 있는 확인란을 선택합니다.AmazonEC2ContainerServiceforEC2Role정책을 선택하고정책 연결.

  6. 선택을 선택합니다.신뢰 관계탭을 선택하고,신뢰 관계 편집.

  7. 신뢰 관계에 다음 정책이 포함되어 있는지 확인합니다. 신뢰 관계가 아래 정책과 일치하는 경우, Cancel을 선택합니다. 신뢰 관계가 일치하지 않는 경우, 정책을 Policy Document 창에 복사하고 Update Trust Policy를 선택합니다.

    { "Version": "2008-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

컨테이너 인스턴스의 ecsInstanceRole IAM 역할을 생성하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 [Roles]를 선택한 후 [Create role]을 선택합니다.

  3. 선택을 선택합니다.AWS서비스역할 유형을 선택한 후엘라스틱 컨테이너 서비스.

  4. 선택을 선택합니다.탄력적 컨테이너 서비스를 위한 EC2 역할사용 사례다음: Permissions)]을 선택합니다.

  5. 에서연결된 권한 정책섹션에 대한 자세한 내용은AmazonEC2ContainerServiceforEC2Role정책이 선택되어 있는지 확인한 다음다음: 태그.

    중요

    The AmazonEC2ContainerServiceforEC2Role managed policy should be attached to the container instance IAM role, otherwise you will receive an error using the AWS Management Console to create clusters.

  6. 태그 추가 (선택 사항)에서 정책과 연결할 사용자 지정 태그를 지정한 다음다음: Review)]를 선택합니다.

  7. [Role name]에 ecsInstanceRole을 입력하고 필요한 경우 설명을 입력합니다.

  8. 역할 정보를 검토한 후 [Create role]을 선택하여 마칩니다.

추가 중Amazon S3컨테이너 인스턴스에 대한 읽기 전용 액세스 권한을 제공IAM역할

Amazon S3에서 구성 정보를 프라이빗 버킷에 저장하고 컨테이너 인스턴스 IAM 역할에 읽기 전용 액세스를 부여하는 것이 시작 시 컨테이너 인스턴스 구성을 허용하는 안전하고 편리한 방법입니다. ecs.config 파일의 사본을 프라이빗 버킷에 저장했다가 인스턴스가 시작할 때 Amazon EC2 사용자 데이터를 사용하여 AWS CLI를 설치하고 구성 정보를 /etc/ecs/ecs.config에 복사할 수 있습니다.

ecs.config 파일을 생성하여 Amazon S3에 저장하고 이 구성으로 인스턴스를 시작하는 자세한 방법은 Amazon S3에서 컨테이너 인스턴스 구성 저장 단원을 참조하십시오.

컨테이너 인스턴스 역할에 Amazon S3 읽기 전용 액세스를 허용하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 역할을 선택합니다.

  3. 컨테이너 인스턴스에서 사용할 IAM 역할을 선택합니다(이 역할의 제목은 ecsInstanceRole일 수 있음). 자세한 정보는 Amazon ECS컨테이너 인스턴스IAM역할을 참조하십시오.

  4. [Permissions] 탭을 선택한 후 [Attach policy]를 선택합니다.

  5. 정책 연결페이지에 입력S3필터: 정책 유형필드를 사용하여 정책 결과를 좁힐 수 있습니다.

  6. [AmazonS3ReadOnlyAccess] 정책 왼쪽의 확인란을 선택하고 [Attach policy]를 클릭합니다.

    참고

    이 정책으로 모든 Amazon S3 리소스에 대한 읽기 전용 액세스가 가능합니다. 더 제한적인 버킷 정책 예제는 단원을 참조하십시오.버킷 정책 예제의Amazon Simple Storage Service 개발자 가이드.