As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Função do IAM de execução de tarefas do Amazon ECS
A função de execução de tarefas concede ao contêiner do Amazon ECS e aos agentes do Fargate permissão para fazer chamadas da API da AWS em seu nome. A função do IAM para execução da tarefa é necessária dependendo dos requisitos da sua tarefa. Você pode ter várias funções de execução de tarefas para diferentes finalidades e serviços associados à sua conta. Para obter as permissões do IAM que seu aplicativo precisa para ser executado, consulteFunção do IAM de tarefa.
Veja a seguir os casos de uso comuns para uma função do IAM de execução de tarefas:
-
Sua tarefa está hospedada no AWS Fargate ou em uma instância externa e...
-
está extraindo uma imagem de contêiner de um repositório privado do Amazon ECR.
-
está extraindo uma imagem de contêiner de um repositório privado do Amazon ECR em uma conta diferente da conta que executa a tarefa.
-
envia registros de contêiner para o CloudWatch Logs usando o driver de
awslogslog. Para obter mais informações, consulte Usar o driver de log awslogs.
-
-
Suas tarefas são hospedadas no AWS Fargate ou em instâncias do Amazon EC2 e...
-
está usando a autenticação de registro privado. Para obter mais informações, consulte Permissões do IAM necessárias para a autenticação de registro privado.
-
a definição de tarefa faz referência a dados sigilosos usando segredos do Secrets Manager ou parâmetros do AWS Systems Manager Parameter Store. Para obter mais informações, consulte Permissões obrigatórias do IAM para segredos do Amazon ECS.
-
nota
A função de execução de tarefas é compatível com a versão 1.16.0 e posterior do agente de contêiner do Amazon ECS.
O Amazon ECS fornece a política gerenciada denominada AmazonECSTaskExecutionRolePolicy, que contém as permissões que os casos de uso comuns descritos acima exigem. Talvez seja necessário adicionar políticas em linha ao seu perfil de execução de tarefas para os casos de uso especiais descritos abaixo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
A função de execução de tarefas do Amazon ECS pode ser criada para você no console do Amazon ECS. Porém, você deve anexar manualmente a política gerenciada do IAM para as tarefas permitirem que o Amazon ECS adicione permissões para recursos e aprimoramentos futuros à medida que forem introduzidos. Você pode usar o procedimento a seguir para conferir e saber se a conta já tem a função de execução de tarefas do Amazon ECS e anexar a política gerenciada do IAM, se necessário.
Verificação do perfil de execução de tarefa (ecsTaskExecutionRole) no console do IAM
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Roles (Funções).
-
Na caixa de pesquisa, insira
ecsTaskExecutionRole. Se o perfil existir, selecione-o para exibir as políticas anexadas. -
Na guia Permissões, verifique se o TaskExecutionRolePolicyAmazonECS está vinculado à função.
-
Escolha Add Permissions (Adicionar permissões), Attach policies (Anexar políticas).
-
Para restringir as políticas disponíveis para anexar, em Filtro, insira TaskExecutionRolePolicyAmazonECS.
-
Marque a caixa à esquerda da política do TaskExecutionRolePolicyAmazonECS e escolha Anexar política.
-
-
Escolha Trust relationships (Relações de confiança).
-
Verifique se o relacionamento de confiança contém a seguinte política: Se o relacionamento de confiança corresponder à política abaixo, escolha Cancel. Se o relacionamento de confiança não corresponder, escolha Edit trust policy (Editar política confiável), copie a política para a janela Policy Document (Documento da política) e escolha Update Policy (Atualizar política).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs-tasks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Criação do perfil de execução de tarefa (ecsTaskExecutionRole)
Se a sua conta ainda não tiver uma função de execução de tarefa, use as etapas a seguir para criar a função.
Para criar uma função do IAM (AWS Management Console) de execução de tarefas
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Roles e depois Create Role.
-
Na seção Tipo de entidade confiável, escolha Serviço da AWS, Elastic Container Service.
-
Em Caso de uso, escolha Tarefa do Elastic Container Service e, em seguida, Próximo.
-
Na página Attach permissions policy (Anexar política de permissões), faça o seguinte:
Pesquise TaskExecutionRolePolicyAmazonECS e selecione a política.
Em Set permissions boundary - optional (Definir limite de permissões - opcional), escolha Create role without a permissions boundary (Criar função sem limite de permissões).
Escolha Avançar.
-
Em Role details (Detalhes da função), faça o seguinte:
-
Em Role name, insira
ecsTaskExecutionRole. -
Em Add tags (optional) (Adicionar etiquetas (opcional)), especifique todas as etiquetas personalizadas a serem associadas à política.
-
-
Selecione Create role (Criar função).
Para criar uma função do IAM (AWS CLI) de execução de tarefas
-
Crie um arquivo denominado
ecs-tasks-trust-policy.jsonque contenha a política de confiança a ser usada para a função do IAM. O arquivo deve conter o seguinte:{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs-tasks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Crie uma função do IAM denominada
ecsTaskExecutionRoleusando a política de confiança criada na etapa anterior.aws iam create-role \ --role-nameecsTaskExecutionRole\ --assume-role-policy-document file://ecs-tasks-trust-policy.json -
Anexe a política
AmazonECSTaskExecutionRolePolicygerenciada pela AWS à funçãoecsTaskExecutionRole. Essa política ofereceaws iam attach-role-policy \ --role-nameecsTaskExecutionRole\ --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSTaskExecutionRolePolicy
Permissões do IAM necessárias para a autenticação de registro privado
É necessária a função de execução da tarefa do Amazon ECS para usar esse recurso. Isso permite que o agente de contêiner obtenha a imagem do contêiner.
Para fornecer acesso aos segredos criados por você, adicione as permissões a seguir como uma política em linha à função de execução da tarefa. Para obter mais informações, consulte Adicionar e remover políticas do IAM.
-
secretsmanager:GetSecretValue -
kms:Decrypt: exigido somente se a chave usar uma chave do KMS personalizada e não a chave padrão. O nome do recurso da Amazon (ARN) da chave personalizada deve ser adicionado como um recurso.
Veja a seguir um exemplo de política em linha que adiciona as permissões.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:secret_name", "arn:aws:kms:<region>:<aws_account_id>:key/key_id" ] } ] }
Permissões obrigatórias do IAM para segredos do Amazon ECS
Para usar o recurso de segredos do Amazon ECS, você deve ter a função de execução de tarefas do Amazon ECS e fazer referência a ela na definição de tarefa. Isso permite que o agente de contêiner extraia os recursos necessários do AWS Systems Manager ou do Secrets Manager. Para obter mais informações, consulte Passar dados confidenciais para um contêiner.
Usando o Secrets Manager
Para fornecer acesso aos segredos do Secrets Manager criados por você, adicione manualmente as permissões a seguir ao perfil de execução da tarefa. Para obter informações sobre como gerenciar permissões, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do IAM.
-
secretsmanager:GetSecretValue: obrigatório se você estiver fazendo referência a um segredo do Secrets Manager. Adiciona a permissão para recuperar o segredo do Secrets Manager.
O exemplo de política a seguir adiciona as permissões necessárias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name" ] } ] }
Usando o Systems Manager
Para dar acesso aos parâmetros do Systems Manager Parameter Store que você cria, adicione manualmente as permissões a seguir como uma política ao perfil de execução da tarefa. Para obter informações sobre como gerenciar permissões, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do IAM.
-
ssm:GetParameters: obrigatório se você estiver fazendo referência a um parâmetro do Systems Manager Parameter Store em uma definição de tarefa. Adiciona a permissão para recuperar os parâmetros do Systems Manager. -
secretsmanager:GetSecretValue: obrigatório se você estiver fazendo referência direta a um segredo do Secrets Manager ou se o parâmetro do Systems Manager Parameter Store estiver fazendo referência a um segredo do Secrets Manager em uma definição de tarefa. Adiciona a permissão para recuperar o segredo do Secrets Manager. -
kms:Decrypt: obrigatório somente se o segredo usar uma chave gerenciada pelo cliente e não a chave padrão. O ARN da chave personalizada deve ser adicionado como um recurso. Adiciona a permissão para descriptografar a chave gerenciada pelo cliente.
O exemplo de política a seguir adiciona as permissões necessárias:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetParameters", "secretsmanager:GetSecretValue", "kms:Decrypt" ], "Resource": [ "arn:aws:ssm:region:aws_account_id:parameter/parameter_name", "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name", "arn:aws:kms:region:aws_account_id:key/key_id" ] } ] }
Permissões opcionais do IAM para tarefas do Fargate que extraem imagens do Amazon ECR em endpoints de interface
Ao iniciar tarefas que usam o tipo de inicialização do Fargate que extraem imagens do Amazon ECR quando o Amazon ECR está configurado para usar um endpoint da VPC de interface, você pode restringir o acesso das tarefas a uma VPC ou a um endpoint da VPC específico. Faça isso criando uma função de execução de tarefas que use chaves de condição do IAM.
Use as seguintes chaves de condição globais do IAM para restringir o acesso a uma VPC ou a um endpoint da VPC específico. Para obter mais informações, consulte Chaves de contexto de condição globais da AWS.
-
aws:SourceVpc: restringe o acesso a uma VPC específica. -
aws:SourceVpce: restringe o acesso a um endpoint da VPC específico.
A política da função de execução de tarefas a seguir fornece um exemplo para adicionar chaves de condição.
Importante
A ação da ecr:GetAuthorizationToken API não pode ter as chaves de aws:sourceVpce condição aws:sourceVpc ou aplicadas a ela porque a chamada da GetAuthorizationToken API passa pela interface de rede elástica de propriedade da AWS Fargate, em vez da interface de rede elástica da tarefa.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*", "Condition": { "StringEquals": { "aws:sourceVpce": "vpce-xxxxxx", "aws:sourceVpc": "vpc-xxxxx" } } } ] }
