Amazon ECSinstância de contêinerIAMfunção do - Amazon Elastic Container Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Amazon ECSinstância de contêinerIAMfunção do

Amazon ECSinstâncias de contêiner, incluindoAmazon EC2e instâncias externas, execute oAmazon ECSagente de contêiner e exigem umIAMPara o serviço de forma a poder saber se o agente pertence a você. Para poder ativar instâncias de contêiner e registrá-las em um cluster, você deve criar umIAMPara suas instâncias de contêiner serem usadas.

Importante

Se você estiver registrando instâncias externas em seu cluster, oIAMfunção que você usa requerSystems Managerpermissões também. Para obter mais informações, consulte ObrigatórioIAMpermissões para instâncias externas.

Amazon ECSO fornece oAmazonEC2ContainerServiceforEC2Rolegerenciada pelaIAMque contém as permissões necessárias para usar oAmazon ECSConjunto de recursos. Esta política gerenciada pode ser anexada a umIAMe associada às suas instâncias de contêiner. Em alternativa, você pode usar a política gerenciada como guia ao criar uma política personalizada a ser usada. A função de instância de contêiner fornece permissões necessárias para oAmazon ECSagente de contêiner e daemon do Docker para chamarAWSAPIs em seu nome. Para obter mais informações sobre a política gerenciada, consulteAmazonEC2ContainerServiceforEC2Role.

Criar aAmazon ECSinstância de contêinerIAMfunção do

Importante

Se você estiver registrando instâncias externas em seu cluster, consulteObrigatórioIAMpermissões para instâncias externas.

OAmazon ECSA função de instância do é criada automaticamente para você ao concluir oAmazon ECSExperiência de primeira execução do. No entanto, você pode criar a função manualmente e anexar oIAMpolítica para instâncias de contêiner permitirAmazon ECSPara adicionar permissões para recursos e aprimoramentos futuros à medida que são introduzidos. Use o procedimento a seguir para verificar e saber se a conta já tem oAmazon ECSinstância de contêinerIAMe para anexar a função gerenciadaIAMpolítica, se necessário.

Para verificar ecsInstanceRole no console do IAM

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Roles.

  3. Procure ecsInstanceRole na lista de funções. Se a função não existir, use o procedimento na próxima seção para criar a função. Se a função existir, selecione-a para visualizar as políticas anexadas.

  4. Escolha a guia Permissions.

  5. NoPolíticas de permissões, certifique-se de que oAmazonEC2ContainerServiceforEC2RoleA política gerenciada, ou uma política personalizada equivalente, está anexada à função. Se a política estiver anexada, sua função de instância de contêiner do estará configurada corretamente. Caso contrário, siga as etapas secundárias abaixo para anexar a política.

    Importante

    The AmazonEC2ContainerServiceforEC2Role managed policy should be attached to the container instance IAM role, otherwise you will receive an error using the AWS Management Console to create clusters.

    1. Escolha Attach policies (Anexar políticas).

    2. NoPolíticas de filtrocaixa de pesquisa, digiteAmazonEC2ContainerServiceforEC2RolePara restringir as políticas disponíveis a serem anexadas.

    3. Marque a caixa à esquerda doAmazonEC2ContainerServiceforEC2Rolee escolhaAnexar política.

  6. Escolha a guia Trust relationships e Edit trust relationship.

  7. Verifique se o relacionamento de confiança contém a seguinte política. Se o relacionamento de confiança corresponder à política abaixo, escolha Cancel. Se o relacionamento de confiança não corresponder, copie a política para a janela Policy Document (Documento da política) e escolha Update Trust Policy (Atualizar política confiável).

    { "Version": "2008-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Para criar a função ecsInstanceRole do IAM para suas instâncias de contêiner

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Roles e Create role.

  3. Selecione oAWSServiço daTipo de função e depois selecioneServiço de Container.

  4. Selecione oFunção do EC2 no Elastic Container Servicecaso de uso e depoisPróximo: Permissions

  5. NoPolíticas de permissões anexadas, verifique aAmazonEC2ContainerServiceforEC2Roleé selecionada e, em seguida, escolhaNext: Tags.

    Importante

    The AmazonEC2ContainerServiceforEC2Role managed policy should be attached to the container instance IAM role, otherwise you will receive an error using the AWS Management Console to create clusters.

  6. para oAdd tags (opcional), especifique as tags personalizadas a serem associadas à política e escolhaPróximo: Análise.

  7. Em Role name, digite ecsInstanceRole e, opcionalmente, uma descrição.

  8. Revise as informações da sua função e selecione Create role para finalizar.

AdicionandoAmazon S3Acesso somente leitura à instância de contêinerIAMfunção do

Armazenar informações de configuração em um bucket privado no Amazon S3 e conceder acesso somente leitura à função do IAM de instância de contêiner é uma maneira segura e prática de permitir a configuração da instância de contêiner no momento da ativação. Você pode armazenar uma cópia do arquivo ecs.config em um bucket privado, usar os dados do usuário do Amazon EC2 para instalar a AWS CLI e copiar as informações de configuração em /etc/ecs/ecs.config quando a instância é executada.

Para obter mais informações sobre como criar um arquivo ecs.config, armazená-lo no Amazon S3 e ativar instâncias com essa configuração, consulte Como armazenar a configuração da instância de contêiner no Amazon S3.

Para permitir acesso somente leitura do Amazon S3 à função de instância de contêiner

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Roles.

  3. Escolha a função do IAM que você usa para suas instâncias de contêiner (o título provável dessa função é ecsInstanceRole). Para obter mais informações, consulte Amazon ECSinstância de contêinerIAMfunção do.

  4. Escolha a guia Permissions e, em seguida, Attach policy.

  5. NoAnexar políticaPágina, digiteS3para oFilter: Tipo de políticapara restringir os resultados da política.

  6. Selecione a caixa à esquerda da política AmazonS3ReadOnlyAccess e clique em Attach policy.

    nota

    Essa política permite o acesso somente leitura a todos os recursos do Amazon S3. Para obter exemplos de políticas de bucket mais restritivas, consulte Exemplos de política de bucket no Guia do desenvolvedor do Amazon Simple Storage Service.