작업 실행(ecsTaskExecutionRole) 역할 생성 프라이빗 레지스트리 인증에 대한 필수 IAM 권한 Amazon ECS 암호에 대한 필수 IAM 권한 인터페이스 엔드포인트에 대해 Amazon ECR 이미지를 가져오는 Fargate 태스크에 대한 선택적 IAM 권한

Amazon ECS 태스크 실행 IAM 역할

태스크 실행 IAM 역할은 Amazon ECS 컨테이너 에이전트 및 Fargate 에이전트에 사용자를 대신하여 AWS API 호출을 수행할 권한을 부여합니다. 태스크의 요구 사항에 따라 태스크 실행 IAM 역할이 필요합니다. 계정과 연결된 다른 용도 및 서비스에 사용할 여러 태스크 실행 역할이 있을 수 있습니다. 애플리케이션을 실행하는 데 필요한 IAM 권한은 태스크 IAM 역할을 참조하세요.

태스크 실행 IAM 역할의 일반 사용 사례는 다음과 같습니다.

작업은 외부 인스턴스에서 AWS Fargate호스팅되거나 외부 인스턴스에서 호스팅되며 다음과 같습니다.
- Amazon ECR 프라이빗 리포지토리에서 컨테이너 이미지를 가져옵니다.
- 작업을 실행하는 계정과 다른 계정의 Amazon ECR 프라이빗 리포지토리에서 컨테이너 이미지를 가져옵니다.
- awslogs로그 드라이버를 사용하여 컨테이너 CloudWatch 로그를 Logs로 전송합니다. 자세한 설명은 awslogs 로그 드라이버 사용 섹션을 참조하세요.
작업은 Amazon EC2 인스턴스 중 AWS Fargate 하나에서 호스팅되며...
- 프라이빗 레지스트리 인증을 사용합니다. 자세한 설명은 프라이빗 레지스트리 인증에 대한 필수 IAM 권한 섹션을 참조하세요.
- 런타임 모니터링을 사용하고 있습니다.
- 태스크 정의에서 Secrets Manager 암호 또는 AWS Systems Manager 파라미터 스토어 파라미터를 사용하여 민감한 데이터를 참조합니다. 자세한 정보는 Amazon ECS 암호에 대한 필수 IAM 권한 섹션을 참조하세요.

참고

태스크 실행 역할은 Amazon ECS 컨테이너 에이전트 버전 1.16.0 이상에서 지원됩니다.

Amazon ECS는 위에서 설명한 일반 사용 사례에 필요한 권한을 포함하는 AmazonECSTaskExecutionRolePolicy라는 관리형 정책을 제공합니다. 아래에 간단히 설명한 특수 사용 사례에서는 인라인 정책을 작업 실행 역할에 추가해야 할 수도 있습니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

Amazon ECS 태스크 실행 역할은 Amazon ECS 콘솔에서 사용자에 대해 생성됩니다. 하지만 향후 기능 및 개선 사항이 도입될 때 Amazon ECS가 이에 대한 권한을 추가할 수 있도록 하려면 태스크에 대한 관리형 IAM 정책을 수동으로 연결해야 합니다. IAM 콘솔 검색을 사용하여 계정에 이미 작업 실행 역할이 있는지 ecsTaskExecutionRole 검색하고 확인할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 IAM 콘솔 검색을 참조하십시오.

작업 실행(`ecsTaskExecutionRole`) 역할 생성

계정에 아직 작업 실행 역할이 없는 경우 다음 단계를 사용하여 역할을 생성하십시오.

AWS Management Console

태스크 실행 IAM 역할을 생성하는 방법(AWS Management Console)

https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.
탐색 창에서 역할(Roles), 역할 생성(Create role)을 선택합니다.
신뢰할 수 있는 엔터티 유형(Trusted entity type) 섹션에서 AWS 서비스, Elastic Container Service를 선택합니다.
Use case(사용 사례)에서 Elastic Container Service Task(Elastic Container Service 작업)를 선택하고 Next(다음)를 선택합니다.
권한 추가 섹션에서 다음을 수행하십시오.
1. TaskExecutionRolePolicyAmazonECS를 검색한 다음 정책을 선택합니다.
2. 권한 경계 설정(Set permissions boundary)(선택 사항)에서 선택권한 경계 없이 역할 만들기(Create role without a permissions boundary)를 선택합니다.
3. 다음을 선택합니다.
이름, 검토 및 생성에서 다음을 수행하십시오.
1. 역할 이름(Role name)에 ecsTaskExecutionRole을(를) 입력합니다.
2. 태그 추가(Add tags)(선택 사항)에서 정책과 연결할 사용자 지정 태그를 지정합니다.
역할 생성을 선택합니다.

AWS CLI

모든 사용자 입력을 자체 정보로 바꾸십시오.

IAM 역할에 사용할 신뢰 정책이 포함된 ecs-tasks-trust-policy.json이라는 이름의 파일을 생성합니다. 파일에 다음을 포함해야 합니다.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ecs-tasks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

이전 단계에서 만든 신뢰 정책을 사용하여 ecsTaskExecutionRole이라는 IAM 역할을 생성합니다.


aws iam create-role \
      --role-name ecsTaskExecutionRole \
      --assume-role-policy-document file://ecs-tasks-trust-policy.json

AWS 관리형 AmazonECSTaskExecutionRolePolicy 정책을 ecsTaskExecutionRole 역할에 연결합니다.


aws iam attach-role-policy \
      --role-name ecsTaskExecutionRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSTaskExecutionRolePolicy

프라이빗 레지스트리 인증에 대한 필수 IAM 권한

Amazon ECS 태스크 실행 역할은 이 기능을 사용해야 합니다. 컨테이너 에이전트는 이 기능을 통해 컨테이너 이미지를 가져올 수 있습니다.

생성하는 암호에 액세스 권한을 부여하려면 다음 권한을 인라인 정책으로 태스크 실행 역할에 추가하세요. 자세한 정보는 IAM 정책 추가 및 제거 섹션을 참조하세요.

secretsmanager:GetSecretValue
kms:Decrypt―사용자 키가 기본 KMS 키가 아닌 사용자 지정 KMS 키를 사용하는 경우에만 필요합니다. 사용자 지정 키의 Amazon 리소스 이름(ARN)을 리소스로 추가해야 합니다.

다음 예제에서는 인라인 정책이 권한을 추가합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:secret_name",
                "arn:aws:kms:<region>:<aws_account_id>:key/key_id"
            ]
        }
    ]
}

Amazon ECS 암호에 대한 필수 IAM 권한

Amazon ECS 암호 기능을 사용하려면 Amazon ECS 태스크 실행 역할이 있어야 하며 태스크 정의에서 해당 역할을 참조해야 합니다. 이를 통해 컨테이너 에이전트는 필요한 리소스 AWS Systems Manager 또는 Secrets Manager 리소스를 가져올 수 있습니다. 자세한 설명은 민감한 데이터를 컨테이너에 전달 섹션을 참조하세요.

Secrets Manager 사용

사용자가 생성한 Secrets Manager 보안 암호에 대한 액세스 권한을 제공하려면 작업 실행 역할에 다음 권한을 수동으로 추가합니다. 권한 관리 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 자격 증명 권한 추가 및 제거를 참조하세요.

secretsmanager:GetSecretValue – Secrets Manager 보안 암호를 참조하는 경우에 필요합니다. Secrets Manager에서 암호를 검색할 수 있는 권한을 추가합니다.

다음 예제에서는 정책이 필수 권한을 추가합니다.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name"
      ]
    }
  ]
}

Systems Manager 사용

중요

EC2 시작 유형을 사용하는 태스크의 경우, 이 기능을 사용하려면 ECS 에이전트 구성 변수인 ECS_ENABLE_AWSLOGS_EXECUTIONROLE_OVERRIDE=true를 사용해야 합니다. 컨테이너 인스턴스를 생성할 때 이를 ./etc/ecs/ecs.config 파일에 추가하거나 기존 인스턴스에 추가한 다음 ECS 에이전트를 다시 시작할 수 있습니다. 자세한 설명은 Amazon ECS 컨테이너 에이전트 구성 섹션을 참조하세요.

사용자가 생성한 Systems Manager Parameter Store 파라미터에 대한 액세스 권한을 제공하려면 작업 실행 역할에 다음 권한을 정책으로 직접 추가합니다. 권한 관리 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 자격 증명 권한 추가 및 제거를 참조하세요.

ssm:GetParameters - 작업 정의에서 Systems Manager Parameter Store 파라미터를 참조하는 경우에 필요합니다. Systems Manager 파라미터를 검색할 수 있는 권한을 추가합니다.
secretsmanager:GetSecretValue - Secrets Manager 보안 암호를 직접 참조하는 경우 또는 Systems Manager Parameter Store 파라미터가 작업 정의에서 Secrets Manager 보안 암호를 참조하는 경우에 필요합니다. Secrets Manager에서 암호를 검색할 수 있는 권한을 추가합니다.
kms:Decrypt - 보안 암호가 기본 키가 아닌 고객 관리 키를 사용하는 경우에만 필요합니다. 사용자 지정 키의 ARN을 리소스로 추가해야 합니다. 고객 관리형 키의 암호를 해독할 수 있는 권한을 추가합니다.

다음 예제 정책은 필요한 권한을 추가합니다.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters",
        "secretsmanager:GetSecretValue",
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:ssm:region:aws_account_id:parameter/parameter_name",
        "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name",
        "arn:aws:kms:region:aws_account_id:key/key_id"
      ]
    }
  ]
}

인터페이스 엔드포인트에 대해 Amazon ECR 이미지를 가져오는 Fargate 태스크에 대한 선택적 IAM 권한

인터페이스 VPC 엔드포인트를 사용하도록 Amazon ECR을 구성한 경우 Amazon ECR에서 이미지를 가져오는 Fargate 시작 유형을 사용하는 태스크를 시작할 때 특정 VPC 또는 VPC 엔드포인트에 대한 태스크 액세스를 제한할 수 있습니다. 이를 위해선 IAM 조건 키를 사용하는 태스크에 대한 태스크 실행 역할을 생성합니다.

다음 IAM 전역 조건 키를 사용하여 특정 VPC 또는 VPC 엔드포인트에 대한 액세스를 제한합니다. 자세한 정보는 AWS 전역 조건 컨텍스트 키를 참조하세요.

aws:SourceVpc―특정 VPC에 대한 액세스를 제한합니다.
aws:SourceVpce―특정 VPC 엔드포인트에 대한 액세스를 제한합니다.

다음 태스크 실행 역할 정책은 조건 키 추가에 대한 예를 제공합니다.

중요

ecr:GetAuthorizationTokenAPI 호출은 작업의 엘라스틱 네트워크 인터페이스가 아닌 AWS Fargate가 소유한 엘라스틱 네트워크 인터페이스를 거치기 때문에 GetAuthorizationToken API 작업에는 aws:sourceVpc 또는 aws:sourceVpce 조건 키를 적용할 수 없습니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpce": "vpce-xxxxxx",
                    "aws:sourceVpc": "vpc-xxxxx"
                }
            }
        }
    ]
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Amazon ECS 콘솔에 필요한 권한

태스크 IAM 역할