As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Função do IAM nos CloudWatch eventos do Amazon ECS
Antes que você possa usar tarefas agendadas do Amazon ECS com regras e metas de CloudWatch eventos, o serviço de CloudWatch eventos precisa de permissões para executar tarefas do Amazon ECS em seu nome. Essas permissões são fornecidas pela função CloudWatch Events IAM (ecsEventsRole).
A função CloudWatch Eventos é criada automaticamente para você AWS Management Console quando você configura uma tarefa agendada. Para obter mais informações, consulte Tarefas programadas.
A política AmazonEC2ContainerServiceEventsRole é mostrada abaixo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": [ "RunTask" ] } } } ] }
Se suas tarefas agendadas exigirem o uso da função de execução de tarefa, de uma função de tarefa ou de uma substituição de função de tarefa, você deverá adicionar iam:PassRole permissões para cada função de execução de tarefa, função de tarefa ou substituição de função de tarefa à função CloudWatch Events IAM. Para obter mais informações sobre a função de execução de tarefas, consulte Função do IAM de execução de tarefas do Amazon ECS.
nota
Especifique o ARN completo da função de execução de tarefa ou da substituição da função de tarefa.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>" ] } ] }
Verificando os CloudWatch eventos do Amazon ECS (ecsEventsRole) no console do IAM
Você pode criar manualmente a função e anexar a política gerenciada do IAM para instâncias de contêiner para permitir que o Amazon ECS adicione permissões para futuros recursos e aprimoramentos à medida que forem introduzidos. Use o procedimento a seguir para conferir e saber se a conta já tem a função do IAM de instância de container do Amazon ECS e anexar a política gerenciada do IAM, se necessário.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Roles (Funções).
-
Na caixa de pesquisa, insira
ecsEventsRole. Se o perfil existir, selecione-o para exibir as políticas anexadas. -
Na guia Permissões, verifique se o AmazonEC2 ContainerServiceEventsRole está anexado à função.
-
Escolha Add Permissions (Adicionar permissões), Attach policies (Anexar políticas).
-
Para restringir as políticas disponíveis para anexar, em Filtro, insira AmazonEC2 ContainerServiceEventsRole.
-
Marque a caixa à esquerda da política do AmazonEC2 e escolha Anexar ContainerServiceEventsRole política.
-
-
Escolha Trust relationships (Relações de confiança).
-
Verifique se o relacionamento de confiança contém a seguinte política: Se o relacionamento de confiança corresponder à política abaixo, escolha Cancel. Se o relacionamento de confiança não corresponder, escolha Edit trust policy (Editar política confiável), copie a política para a janela Policy Document (Documento da política) e escolha Update Policy (Atualizar política).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Criação da função Amazon ECS CloudWatch Events (ecsEventsRole)
Para criar uma função do IAM para CloudWatch eventos
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Roles e depois Create Role.
-
Na seção Tipo de entidade confiável, escolha Serviço da AWS, Elastic Container Service.
-
Em Caso de uso, escolha Tarefa do Elastic Container Service e, em seguida, Próximo.
-
Na página Attach permissions policy (Anexar política de permissões), faça o seguinte:
-
Na caixa de pesquisa
AmazonEC2ContainerServiceEventsRole, insira e selecione a política. -
Em Set permissions boundary - optional (Definir limite de permissões - opcional), escolha Create role without a permissions boundary (Criar função sem limite de permissões).
-
Escolha Avançar.
-
-
Em Role details (Detalhes da função), faça o seguinte:
-
Em Nome do perfil, insira
ecsEventsRole. -
Em Adicionar tags (opcional), especifique qualquer tag personalizada a ser associada à política.
-
-
Selecione Create role (Criar função).
-
Procure por
ecsEventsRolena lista de perfis e selecione-o. -
Substitua o relacionamento de confiança existente pelo seguinte texto: Na guia Relações de confiança, escolha Editar política de confiança, copie a política na janela Documento de política e escolha Atualizar política.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Anexação de uma política ao perfil do ecsEventsRole
Para adicionar permissões para a função de execução de tarefas à função CloudWatch Events IAM
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies, Create policy.
-
Selecione JSON, cole a política a seguir e depois escolha Review policy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>" ] } ] } -
Em Nome, digite
AmazonECSEventsTaskExecutionRole. Como opção, insira uma descrição e, em seguida, escolha Criar política. -
No painel de navegação, escolha Roles.
-
Procure por
ecsEventsRolena lista de perfis e selecione o perfil para visualizar as políticas anexadas. -
Escolha Attach policy (Anexar política).
-
Na seção Anexar política, selecione a política do EventsTaskExecutionRoleAmazonECS e, em seguida, escolha Anexar política.
