Amazon ECS 태스크 실행 IAM 역할 - Amazon Elastic Container Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon ECS 태스크 실행 IAM 역할

태스크 실행 역할은 Amazon ECS 컨테이너 및 Fargate 에이전트가 AWS 귀하를 대신한 API 호출. 태스크 실행 IAM 역할에 따라 역할이 필요합니다. 작업 요구 사항. 여러 다른 목적을 위해 여러 태스크 실행 역할을 가질 수 있습니다. 및 귀하의 계정과 연결된 서비스.

다음은 태스크 실행에 대한 일반적인 사용 사례입니다. IAM 역할:

  • 작업은 Fargate 시작 유형 및...

  • 작업에서는 Fargate 또는 EC2 시작 유형 및...

참고

태스크 실행 역할은 Amazon ECS 컨테이너 에이전트 버전 1.16.0 및 나중에.

Amazon ECS 는 관리형 정책인 AmazonECSTaskExecutionRolePolicy 여기에는 위에 설명된 일반적인 사용 사례에 필요한 권한이 포함되어 있습니다. 이는 다음과 같을 수 있습니다. 작업 실행 역할에 인라인 정책을 추가해야 하는 특수 사용 사례를 위해 아래에 설명되어 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }

안 Amazon ECS 태스크 실행 역할이 자동으로 Amazon ECS 콘솔 첫 번째 실행 경험. 그러나 관리된 IAM 작업 정책 을(를) 허용하도록 Amazon ECS 향후 기능 및 개선 사항에 대한 사용 권한을 추가할 수 있습니다. 에 도입되었습니다. 다음 절차에 따라 귀하의 계정이 이미 을 Amazon ECS 작업 실행 역할 및 관리되는 IAM 정책을 참조하십시오.

다음을 확인하려면 ecsTaskExecutionRole 에서 IAM 콘솔

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 다음을 선택합니다. 역할.

  3. 다음에 대한 역할 목록 검색 ecsTaskExecutionRole. 해당 역할이 존재하지 않음, 참조 태스크 실행 작성 IAM 역할. 역할이 있는 경우 첨부된 정책을 보려면 역할을 선택합니다.

  4. 에서 권한 탭, AmazonECSTask실행역할정책 관리되는 정책이 첨부되었습니다. 역할 로 이동합니다. 정책이 첨부된 경우, Amazon ECS 태스크 실행 역할이 올바르게 구성되었습니다. 그렇지 않은 경우 아래 하위 단계를 따라 정책을 첨부하십시오.

    1. 선택 정책 첨부.

    2. 첨부할 수 있는 정책의 범위를 좁히려면 필터, 유형 AmazonECSTask실행역할정책.

    3. 왼쪽 상자에 체크 표시를 하십시오. AmazonECSTask실행역할정책 정책 및 선택 정책 첨부.

  5. 선택 신뢰 관계, 트러스트 편집 관계.

  6. 신뢰 관계에 다음 정책이 포함되어 있는지 확인합니다. 신뢰가 관계가 아래 정책과 일치하면 취소. 만약 신뢰 관계가 일치하지 않습니다. 정책을 정책 문서 창을 열고 신뢰 업데이트 정책.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs-tasks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

태스크 실행 작성 IAM 역할

계정에 태스크 실행 역할이 없는 경우 다음 단계를 사용하십시오. 를 클릭하여 역할 을(를) 만듭니다.

을(를) 만들려면 ecsTaskExecutionRole IAM 역할

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 다음을 선택합니다. 역할, 생성 역할.

  3. 에서 신뢰할 수 있는 개체 유형 선택 섹션, 선택 탄성 컨테이너 서비스.

  4. 대상 사용 사례 선택, 선택 고무줄 컨테이너 서비스 작업을 선택한 다음 다음: 권한.

  5. 에서 권한 정책 첨부 섹션, 검색 AmazonECSTask실행역할정책, 정책을 선택하고 그런 다음 다음: 검토.

  6. 대상 역할 이름, 유형 ecsTaskExecutionRole 및 선택 역할 생성.

필수 IAM 개인에 대한 권한 레지스트리 인증

더 Amazon ECS 개인 레지스트리 인증을 사용하려면 태스크 실행 역할이 필요합니다. 기능. 이는 용기 에이전트가 용기 이미지를 당길 수 있게 한다. 추가 정보 정보, 참조 작업에 대한 개인 레지스트리 인증.

만드는 암호에 대한 액세스를 제공하려면 다음을 수동으로 추가합니다. 권한을 태스크 실행 역할 에 대한 인라인 정책으로 사용할 수 있습니다. 자세한 내용은 을 참조하십시오. 추가 및 IAM 정책 제거.

  • secretsmanager:GetSecretValue

  • kms:Decrypt—키가 사용자 지정 KMS를 사용하는 경우에만 필요합니다. 기본 키가 아닌 키. 사용자 지정 키의 ARN을 리소스.

권한을 추가하는 인라인 정책의 예가 아래에 나와 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:secret_name", "arn:aws:kms:<region>:<aws_account_id>:key/key_id" ] } ] }

필수 IAM 권한 Amazon ECS 비밀

사용 방법 Amazon ECS 암호 기능을 사용하려면 Amazon ECS 태스크 실행 역할 및 태스크 정의 에서 참조합니다. 이렇게 하면 컨테이너 에이전트가 필요 AWS 시스템 관리자 또는 Secrets Manager 리소스. 자세한 내용은 을 참조하십시오. 민감한 데이터 지정.

에 대한 액세스를 제공하기 위해 AWS 시스템 관리자 매개변수 생성 매개 변수 저장 다음 권한을 인라인 정책으로 태스크 실행 역할 에 수동으로 추가합니다. 자세한 내용은 을 참조하십시오. 추가 및 제거 IAM 정책.

  • ssm:GetParameters—을(를) 참조하는 경우 필수 시스템 관리자 매개 변수 태스크 정의의 매개 변수 저장.

  • secretsmanager:GetSecretValue—다음과 같은 경우 필수 참조 a Secrets Manager 직접 또는 시스템 관리자 파라미터 저장소 파라미터가 Secrets Manager 태스크 정의 의 암호입니다.

  • kms:Decrypt—비밀이 사용자 지정 KMS를 사용하는 경우에만 필요합니다. 기본 키가 아닌 키. 사용자 지정 키의 ARN을 리소스.

다음 예제 인라인 정책은 필요한 권한을 추가합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "kms:Decrypt" ], "Resource": [ "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<secret_name>", "arn:aws:kms:<region>:<aws_account_id>:key/<key_id>" ] } ] }

선택 사항 IAM 권한 Fargate 작업 가져오기 Amazon ECR 인터페이스 엔드포인트를 통한 이미지

를 사용하는 작업을 실행할 때 Fargate 이미지를 가져오는 시작 유형 최저 Amazon ECR 시기 Amazon ECR 인터페이스 VPC 끝점을 사용하도록 구성된 경우 특정 VPC 또는 VPC 끝점에 대한 태스크 액세스 작업 실행을 생성하여 수행 사용할 태스크에 대한 역할 IAM 조건 키.

다음 사용 IAM 특정 VPC에 대한 액세스를 제한하기 위한 전역 조건 키 또는 VPC 끝점. 자세한 내용은 을 참조하십시오. AWS 글로벌 조건 컨텍스트 키.

  • aws:SourceVpc—특정 VPC 에 대한 액세스를 제한합니다.

  • aws:SourceVpce—특정 VPC에 대한 액세스 제한 끝점.

다음 태스크 실행 역할 정책은 조건 추가의 예를 제공합니다. 키:

중요

ecr:GetAuthorizationToken API 동작은 aws:sourceVpc 또는 aws:sourceVpce 조건 키 적용됨 GetAuthorizationToken API 호출이 탄력적인 네트워크를 통과하기 때문에 인터페이스 소유 AWS Fargate 네트워크 인터페이스 대신 작업.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*", "Condition": { "StringEquals": { "aws:sourceVpce": "vpce-xxxxxx", "aws:sourceVpc": "vpc-xxxxx" } } } ] }