Uso de perfis vinculados ao serviço para o Amazon ECS - Amazon Elastic Container Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Uso de perfis vinculados ao serviço para o Amazon ECS

O Amazon Elastic Container Service usa AWS Identity and Access Management funções vinculadas a serviços (IAM). O perfil vinculado ao serviço é um tipo especial de perfil do IAM vinculado diretamente ao Amazon ECS. O perfil vinculado ao serviço é predefinido pelo Amazon ECS Service e inclui todas as permissões que o serviço requer para chamar outros produtos da AWS em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Amazon ECS porque você não precisa adicionar as permissões necessárias manualmente. O Amazon ECS define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o Amazon ECS poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros produtos que oferecem suporte às funções vinculadas a serviços, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Yes (Sim) na coluna Funções vinculadas ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões de perfil vinculado ao serviço para o Amazon ECS

O Amazon ECS usa a função vinculada ao serviço chamada. AWSServiceRoleForECS

A função AWSServiceRoleForECS vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • ecs.amazonaws.com

A política de permissões de função chamada ServiceRolePolicy AmazonECS permite que o Amazon ECS conclua as seguintes ações nos recursos especificados:

  • Ação: ao usar o modo de rede awsvpc em suas tarefas do Amazon ECS, o Amazon ECS gerenciará o ciclo de vida das interfaces de rede elásticas associadas à tarefa. Isso também inclui etiquetas que o Amazon ECS adiciona às interfaces de rede elásticas.

  • Ação: ao usar um balanceador de carga com o serviço do Amazon ECS, o Amazon ECS gerenciará o registro e o cancelamento do registro de recursos com o balanceador de carga.

  • Ação: Ao usar a descoberta de serviços do Amazon ECS, o Amazon ECS gerencia o Route 53 e os AWS Cloud Map recursos necessários para que a descoberta de serviços funcione.

  • Ação: ao usar o serviço de escalabilidade automática do Amazon ECS, o Amazon ECS gerenciará os recursos do Auto Scaling necessários.

  • Ação: O Amazon ECS cria e gerencia CloudWatch alarmes e fluxos de registros que auxiliam no monitoramento de seus recursos do Amazon ECS.

  • Ação: ao usar o Amazon ECS Exec, o Amazon ECS gerenciará as permissões necessárias para iniciar sessões do Amazon ECS Exec para as tarefas.

  • Ação: ao usar o Amazon ECS Service Connect, o Amazon ECS gerencia os recursos necessários do AWS Cloud Map para usar o recurso.

  • Ação: ao usar provedores de capacidade do Amazon ECS, o Amazon ECS gerenciará as permissões necessárias para modificar o grupo do Auto Scaling e suas instâncias do Amazon EC2.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado ao serviço. Para obter mais informações, consulte Permissões de perfil vinculado a serviços no Guia do usuário do IAM.

Criar um perfil vinculado ao serviço para o Amazon ECS

Na maioria dos casos, você não precisa criar manualmente um perfil vinculado ao serviço. Quando você cria um cluster ou cria ou atualiza um serviço na AWS Management Console, na ou na AWS API AWS CLI, o Amazon ECS cria a função vinculada ao serviço para você. Se você não vê a AWSServiceRoleForECSfunção depois de criar um cluster, faça o seguinte para corrigir o problema:

  • Verifique e configure as permissões para que o Amazon ECS crie, edite ou exclua um perfil vinculado ao serviço em seu nome. Para obter mais informações, consulte Permissões de perfil vinculado a serviços no Guia do usuário do IAM.

  • Tente novamente a operação de criação do cluster ou crie manualmente o perfil vinculado ao serviço.

    Você pode usar o console do IAM para criar a função AWSServiceRoleForECSvinculada ao serviço. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do ecs.amazonaws.com serviço. Para obter mais informações, consulte Criar um perfil vinculado a serviço no Guia do usuário do IAM.

Importante

Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil.

Se você excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, poderá usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um cluster ou cria ou atualiza um serviço, o Amazon ECS cria o perfil vinculado ao serviço para você novamente.

Se você excluir esse perfil vinculado ao serviço, será possível usar esse mesmo processo do IAM para criar o perfil novamente.

Editar um perfil vinculado ao serviço do Amazon ECS

O Amazon ECS não permite que você edite a função vinculada ao AWSServiceRoleForECS serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição da função usando o IAM. Para ter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir um perfil vinculado ao serviço do Amazon ECS

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

nota

Se o serviço do Amazon ECS estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para verificar se a função vinculada ao serviço tem uma sessão ativa
  1. Abra o console IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Roles (Funções) e escolha o nome AWSServiceRoleForECS (não a caixa de seleção).

  3. Na página Resumo, escolha Consultor de Acesso e analise as atividades recentes para a função vinculada ao serviço.

    nota

    Se você não tiver certeza se o Amazon ECS está usando a AWSServiceRoleForECS função, você pode tentar excluir a função. Se o serviço está usando a função, a exclusão falha e você pode visualizar as regiões em que a função está sendo usada. Se a função está sendo usada, você deve aguardar a sessão final antes de excluir a função. Não é possível revogar a sessão de uma função vinculada a um serviço.

Para remover os recursos do Amazon ECS usados pela função vinculada ao AWSServiceRoleForECS serviço

Você deve excluir todos os clusters do Amazon ECS em todas as AWS regiões antes de excluir a AWSServiceRoleForECS função.

  1. Dimensione todos os serviços do Amazon ECS até a contagem desejada de 0 em todas as regiões e, em seguida, exclua os serviços. Para ter mais informações, consulte Atualizar um serviço usando o console e Exclusão de um serviço usando o console.

  2. Cancele à força o registro de todas as instâncias de contêiner de todos os clusters em todas as regiões. Para ter mais informações, consulte Cancelar o registro de uma instância de contêiner baseada no Amazon EC2.

  3. Exclua todos os clusters do Amazon ECS em todas as regiões. Para ter mais informações, consulte Exclusão de um cluster usando o console.

Como excluir manualmente o perfil vinculado a serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForECS vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte para os perfis vinculados ao serviço do Amazon ECS

O Amazon ECS é compatível com perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.