AWS Batch função de execução do IAM - AWS Batch
Como criar o perfil do IAM de execução

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Batch função de execução do IAM

A função de execução concede ao contêiner e aos AWS Fargate agentes do Amazon ECS permissão para fazer chamadas de AWS API em seu nome.

nota

O papel de execução é compatível pela versão do agente 1.16.0 do agente de contêiner do Amazon ECS e superior.

É necessário informar o perfil do IAM de execução dependendo dos requisitos da sua tarefa. Você pode ter vários papéis de execução para diferentes objetivos e associações de serviço em sua conta.

nota

Para obter mais informações sobre a função da instância do Amazon ECS, consulte Perfil de instância do Amazon ECS. Para obter informações sobre perfis de serviço, consulte Como AWS Batch funciona com o IAM.

O Amazon ECS fornece a política gerenciada AmazonECSTaskExecutionRolePolicy. Esta politica contém as permissões obrigatórias para os casos de uso comuns descritos acima. Talvez seja necessário adicionar políticas em linha ao seu perfil de execução de trabalhos para os casos de uso especiais resumidos abaixo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecr:GetAuthorizationToken",
        "ecr:BatchCheckLayerAvailability",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchGetImage",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

Você pode usar o procedimento a seguir para verificar se a sua conta já tem o papel de execução e anexar a política do IAM gerenciada, caso necessário.

Para verificar a ecsTaskExecutionRole no campo de console do IAM

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Funções.

  3. Pesquise ecsTaskExecutionRole na lista de funções. Se você não conseguir encontrar a função, consulte Como criar o perfil do IAM de execução. Se a função existir, escolha-a para visualizar as políticas anexadas.

  4. Na guia Permissões, verifique se a política gerenciada do TaskExecutionRolePolicyAmazonECS está anexada à função. Se a política estiver anexada, isso significa que seu perfil de execução está configurado corretamente. Caso contrário, siga as etapas secundárias abaixo para anexar a política.

    1. Escolha Adicionar Permissões e depois escolha Anexar Políticas.

    2. Pesquise TaskExecutionRolePolicyAmazonECS.

    3. Marque a caixa à esquerda da política do TaskExecutionRolePolicyAmazonECS e escolha Anexar políticas.

  5. Escolha Relações de Confiança.

  6. Verifique se a relação de confiança contém a seguinte política. Se a relação de confiança corresponder à política abaixo, a função será configurada corretamente. Se a relação de confiança não corresponder, escolha Editar Política de Confiança, insira o seguinte e escolha Atualizar Política.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ecs-tasks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Como criar o perfil do IAM de execução

Se a sua conta ainda não tiver um papel de execução, use as etapas a seguir para criar a função.

Para criar o perfil do IAM ecsTaskExecutionRole

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Roles.

  3. Escolha Criar Perfil.

  4. Em Tipo de Entidade Confiável, escolha AWS service (Serviço da AWS).

  5. Para Serviço ou Caso de Uso, escolha EC2. Em seguida, escolha EC2 novamente.

  6. Selecione Next (Próximo).

  7. Para políticas de permissões, pesquise TaskExecutionRolePolicyAmazonECS.

  8. Escolha a caixa de seleção à esquerda da política do TaskExecutionRolePolicyAmazonECS e, em seguida, escolha Avançar.

  9. Em Nome da Função, insira ecsTaskExecutionRole e então, escolha Criar Função.