Uso de perfis vinculados ao serviço para o Amazon ECS - Amazon Elastic Container Service

Uso de perfis vinculados ao serviço para o Amazon ECS

O Amazon Elastic Container Service usa os perfis vinculados ao serviço do AWS Identity and Access Management (IAM). O perfil vinculado ao serviço é um tipo especial de perfil do IAM vinculado diretamente ao Amazon ECS. O perfil vinculado ao serviço é predefinido pelo Amazon ECS Service e inclui todas as permissões que o serviço requer para chamar outros produtos da AWS em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Amazon ECS porque você não precisa adicionar as permissões necessárias manualmente. O Amazon ECS define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o Amazon ECS poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros produtos que oferecem suporte às funções vinculadas a serviços, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Yes (Sim) na coluna Funções vinculadas ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de perfil vinculado ao serviço para o Amazon ECS

O Amazon ECS usa o perfil vinculado ao serviço chamado AWSServiceRoleForECS.

O perfil vinculado ao serviço AWSServiceRoleForECS confia nos seguintes serviços para assumir o perfil:

  • ecs.amazonaws.com

A política de permissões do perfil chamada AmazonECSServiceRolePolicy permite que o Amazon ECS conclua as seguintes ações nos recursos especificados:

  • Ação: ao usar o modo de rede awsvpc em suas tarefas do Amazon ECS, o Amazon ECS gerenciará o ciclo de vida das interfaces de rede elásticas associadas à tarefa. Isso também inclui etiquetas que o Amazon ECS adiciona às interfaces de rede elásticas.

  • Ação: ao usar um balanceador de carga com o serviço do Amazon ECS, o Amazon ECS gerenciará o registro e o cancelamento do registro de recursos com o balanceador de carga.

  • Ação: ao usar a descoberta de serviços do Amazon ECS, o Amazon ECS gerenciará os recursos do Route 53 e do AWS Cloud Map necessários para que a descoberta de serviços funcione.

  • Ação: ao usar o serviço de escalabilidade automática do Amazon ECS, o Amazon ECS gerenciará os recursos do Auto Scaling necessários.

  • Ação: o Amazon ECS cria e gerencia alarmes e fluxos de logs do CloudWatch que auxiliam no monitoramento de recursos do Amazon ECS.

  • Ação: ao usar o Amazon ECS Exec, o Amazon ECS gerenciará as permissões necessárias para iniciar sessões do Amazon ECS Exec para as tarefas.

  • Ação: ao usar o Amazon ECS Service Connect, o Amazon ECS gerencia os recursos necessários do AWS Cloud Map para usar o recurso.

  • Ação: ao usar provedores de capacidade do Amazon ECS, o Amazon ECS gerenciará as permissões necessárias para modificar o grupo do Auto Scaling e suas instâncias do Amazon EC2.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de função vinculada a serviços no Guia do Usuário do IAM.

Criar um perfil vinculado ao serviço para o Amazon ECS

Na maioria dos casos, você não precisa criar manualmente um perfil vinculado ao serviço. Quando você cria um cluster ou cria ou atualiza um serviço no AWS Management Console, na AWS CLI ou na API da AWS, o Amazon ECS cria o perfil vinculado ao serviço para você. Se você não vê o perfil AWSServiceRoleForECS depois de criar um cluster, faça o seguinte para corrigir o problema:

  • Verifique e configure as permissões para que o Amazon ECS crie, edite ou exclua um perfil vinculado ao serviço em seu nome. Para ter mais informações, consulte Service-linked role permissions (Permissões de nível vinculado a serviços) no Guia do usuário do IAM.

  • Tente novamente a operação de criação do cluster ou crie manualmente o perfil vinculado ao serviço.

    É possível usar o console do IAM para criar o perfil vinculado ao serviço AWSServiceRoleForECS. Na AWS CLI ou na API do AWS, crie uma função vinculada ao serviço com o nome de serviço ecs.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM.

Importante

Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil.

Se você excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, poderá usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um cluster ou cria ou atualiza um serviço, o Amazon ECS cria o perfil vinculado ao serviço para você novamente.

Se você excluir esse perfil vinculado ao serviço, será possível usar esse mesmo processo do IAM para criar o perfil novamente.

Editar um perfil vinculado ao serviço do Amazon ECS

O Amazon ECS não permite editar o perfil vinculado ao serviço AWSServiceRoleForECS. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Atualizar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir um perfil vinculado ao serviço do Amazon ECS

Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

nota

Se o serviço do Amazon ECS estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para verificar se a função vinculada ao serviço tem uma sessão ativa
  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Roles (Funções) e escolha o nome AWSServiceRoleForECS (e não a caixa de seleção).

  3. Na página Resumo, escolha Consultor de Acesso e analise as atividades recentes para a função vinculada ao serviço.

    nota

    Se você não tiver certeza se o Amazon ECS está usando a função AWSServiceRoleForECS, poderá tentar excluir a função. Se o serviço está usando a função, a exclusão falha e você pode visualizar as regiões em que a função está sendo usada. Se a função está sendo usada, você deve aguardar a sessão final antes de excluir a função. Não é possível revogar a sessão de uma função vinculada a um serviço.

Para remover os recursos do Amazon ECS usados pela função vinculada ao serviço AWSServiceRoleForECS

Você deve excluir todos os clusters do Amazon ECS em todas as regiões da AWS antes de poder excluir a função AWSServiceRoleForECS.

  1. Dimensione todos os serviços do Amazon ECS até a contagem desejada de 0 em todas as regiões e, em seguida, exclua os serviços. Para ter mais informações, consulte Atualização de um serviço do Amazon ECS usando o console e Exclusão de um serviço do Amazon ECS usando o console.

  2. Cancele à força o registro de todas as instâncias de contêiner de todos os clusters em todas as regiões. Para ter mais informações, consulte Cancelamento do registro de uma instância de contêiner do Amazon ECS.

  3. Exclua todos os clusters do Amazon ECS em todas as regiões. Para ter mais informações, consulte Exclusão de um cluster do Amazon ECS.

Como excluir manualmente o perfil vinculado a serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForECS. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões com suporte para os perfis vinculados ao serviço do Amazon ECS

O Amazon ECS é compatível com perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.