Função do IAM do ECS Anywhere - Amazon Elastic Container Service
Criação do perfil ECS Anywhere (ecsAnywhereRole)Permissões do IAM condicionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Função do IAM do ECS Anywhere

Quando você registra um servidor local ou uma máquina virtual (VM) no seu cluster, o servidor ou a VM exige uma função do IAM para se comunicar com as APIs. AWS Você só precisa criar essa função do IAM uma vez para cada AWS conta. No entanto, essa função do IAM deve ser associada a cada servidor ou VM que você registra em um cluster. Essa função é a função ECSAnywhereRole. É possível criar essa função manualmente. Como alternativa, o Amazon ECS pode criar a função em seu nome quando você registrar uma instância externa no AWS Management Console. Você pode usar a pesquisa do console do IAM para pesquisar ecsAnywhereRole e ver se sua conta já tem a função. Para obter mais informações, consulte a pesquisa do console do IAM no guia do usuário do IAM.

AWS fornece duas políticas gerenciadas do IAM que podem ser usadas ao criar a função do IAM do ECS Anywhere, as AmazonEC2ContainerServiceforEC2Role políticas AmazonSSMManagedInstanceCore e. A política AmazonEC2ContainerServiceforEC2Role inclui permissões que, provavelmente, fornecem mais acesso do que você precisa. Portanto, dependendo do seu caso de uso específico, recomendamos que você crie uma política personalizada adicionando apenas as permissões desta política que você precisa que constem dela. Para obter mais informações, consulte Função do IAM de instância de contêiner do Amazon ECS.

Criação do perfil ECS Anywhere (ecsAnywhereRole)

Substitua todas as entradas do usuário por suas próprias informações.

  1. Crie um arquivo local ssm-trust-policy.json com o nome da seguinte política de confiança.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {"Service": [
      "ssm.amazonaws.com"
    ]},
    "Action": "sts:AssumeRole"
  }
}

  2. Crie a função e anexe a política de confiança usando o AWS CLI comando a seguir.

    aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json

  3. Anexe as políticas AWS gerenciadas usando o comando a seguir.

    aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

Você também pode usar o fluxo de trabalho da política de confiança personalizada do console do IAM (https://console.aws.amazon.com/iam/) para criar a função. Para obter mais informações, consulte Criação de uma função usando políticas de confiança personalizadas (console) no Guia do usuário do IAM.

Permissões do IAM condicionais

A função do IAM de execução de tarefas concede ao agente de contêiner do Amazon ECS permissão para fazer chamadas da API da AWS em seu nome. Quando uma função do IAM de execução de tarefa é usada, ela deve ser especificada na definição da tarefa. Para ter mais informações, consulte Função do IAM de execução de tarefas do Amazon ECS.

A função de execução da tarefa será necessária se alguma das seguintes condições se aplicar:

  • Você está enviando registros de contêiner para o CloudWatch Logs usando o driver de awslogs registro.

  • Sua definição de tarefa especifica uma imagem de contêiner hospedada em um repositório privado do Amazon ECR. No entanto, se a função do IAM ECSAnywhereRole associada à instância externa também inclui as permissões necessárias para extrair imagens do Amazon ECR, a função de execução de tarefas não precisa incluí-las.