Perfil do IAM da infraestrutura do Amazon ECS para balanceadores de carga
Um perfil do IAM de infraestrutura do Amazon ECS para balanceadores de carga permite que o Amazon ECS gerencie recursos de balanceadores de carga nos clusters em seu nome, sendo usado quando:
-
Você deseja usar implantações azul/verde com o Amazon ECS. O perfil de infraestrutura permite que o Amazon ECS gerencie recursos de balanceadores de carga das suas implantações.
-
Você precisa do Amazon ECS para criar, modificar ou excluir recursos de balanceadores de carga, como grupos de destino e receptores, durante as operações de implantação.
Quando o Amazon ECS assume esse perfil para realizar ações em seu nome, os eventos ficam visíveis no AWS CloudTrail. Se o Amazon ECS usar o perfil para gerenciar recursos de balanceadores de carga para as implantações azul/verde, o log roleSessionName do CloudTrail será ECSNetworkingWithELB ou ecs-service-scheduler. Você pode usar esse nome para pesquisar eventos no console do CloudTrail filtrando pelo Nome de usuário.
O Amazon ECS fornece uma política gerenciada que contém as permissões necessárias para o gerenciamento de balanceadores de carga. Para obter mais informações, consulte AmazonECSInfrastructureRolePolicyForLoadBalancers no Guia de referência de políticas gerenciadas pela AWS.
Criação do perfil de infraestrutura do Amazon ECS para balanceadores de carga
Substitua cada entrada do usuário por suas próprias informações.
-
Crie um arquivo denominado
ecs-infrastructure-trust-policy.jsonque contenha a política de confiança a ser usada para a função do IAM. O arquivo deve conter o seguinte: -
Use o comando da AWS CLI a seguir para criar um perfil denominado
ecsInfrastructureRoleForLoadBalancersusando a política de confiança criada na etapa anterior.aws iam create-role \ --role-nameecsInfrastructureRoleForLoadBalancers\ --assume-role-policy-document file://ecs-infrastructure-trust-policy.json -
Anexe a política
AmazonECSInfrastructureRolePolicyForLoadBalancersgerenciada pela AWS à funçãoecsInfrastructureRoleForLoadBalancers.aws iam attach-role-policy \ --role-nameecsInfrastructureRoleForLoadBalancers\ --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForLoadBalancers
Você também pode usar o fluxo de trabalho da Política de confiança personalizada do console do IAM para criar o perfil. Para obter mais informações, consulte Criar um perfil usando políticas de confiança personalizadas (console) no Guia do usuário do IAM.
Importante
Se o perfil de infraestrutura estiver sendo usada pelo Amazon ECS para gerenciar recursos de balanceadores de carga de suas implantações azul/verde, verifique o seguinte antes de excluir ou modificar o perfil:
-
O perfil não é excluído enquanto as implantações ativas estão em andamento.
-
A política de confiança do perfil não foi modificada para remover o acesso ao Amazon ECS (
ecs.amazonaws.com). -
A política gerenciada
AmazonECSInfrastructureRolePolicyForLoadBalancersnão é removida enquanto as implantações ativas estão em andamento.
Excluir ou modificar o perfil durante as implantações azul/verde ativas pode resultar em falhas de implantação e deixar seus serviços em um estado inconsistente.
Depois de criar o arquivo, você deverá conceder ao usuário permissão para passar o perfil para o Amazon ECS.
Permissão para passar o perfil de infraestrutura para o Amazon ECS
Para usar um perfil do IAM de infraestrutura do ECS para balanceadores de carga, você deve conceder permissão ao usuário para passar o perfil para o Amazon ECS. Anexe a permissão iam:PassRole a seguir ao usuário. Substitua ecsInfrastructureRoleForLoadBalancers pelo nome do perfil de infraestrutura que você criou.
Para obter mais informações sobre iam:Passrole e as atualizações das permissões de usuário, consulte Conceder permissões a um usuário para passar um perfil para um serviço da AWS e Alteração de permissões de um usuário do IAM no Guia do usuário do AWS Identity and Access Management.
