Perfil de instância do Amazon ECS - AWS Batch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Perfil de instância do Amazon ECS

AWS Batch ambientes de computação são preenchidos com instâncias de contêiner Amazon ECS. Eles executam o atendente de contêiner Amazon ECS localmente. O atendente de contêiner do Amazon ECS faz chamadas para várias AWSoperações API em seu nome. Portanto, as instâncias de contêiner que executam o atendente exigem uma política e um perfil do IAM para esses serviços para reconhecerem que o atendente pertence a você. Você deve criar um perfil do IAM e um perfil de instância para as instâncias de contêiner poderem usar quando iniciadas. Do contrário, você não poderá criar um ambiente de computação e iniciar instâncias de contêiner nele. Esse requisito se aplica a instâncias de contêiner iniciadas com ou sem o AMI otimizado Amazon ECS, fornecido pela Amazon. Para mais informações, consulte Perfil do IAM da instância de contêiner Amazon ECS no Guia de Desenvolvedor do Amazon Elastic Container Service.

A função e o perfil de instância Amazon ECS são criados automaticamente para você durante a primeira execução do console. No entanto, é possível seguir esses passos para verificar se a sua conta já possui a função e perfil de instância Amazon ECS. As etapas a seguir também abordam como anexar a política do IAM gerenciada.

Para verificar a ecsInstanceRole no console do IAM

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Roles (Funções).

  3. Procure na lista de perfis por ecsInstanceRole. Caso o perfil não exista, use os seguintes passos para criá-lo.

    1. Escolha Criar Perfil.

    2. Em Tipo de Entidade Confiável, escolha AWS service (Serviço da AWS).

    3. Em Ocasiões de Uso Comuns, escolhaEC2.

    4. Escolha Próximo.

    5. Em Políticas de Permissões, pesquise por AmazonEC2ContainerServiceforEC2Role.

    6. Escolha a opção próxima a AmazonEC2ContainerServiceforEC2Role e, em seguida, Próximo.

    7. Em Nome do Perfil, digite ecsInstanceRole e selecione Criar Perfil.

      nota

      Caso use AWS Management Console para criar um perfil para Amazon EC2, o console criará um perfil de instância de mesmo nome.

Como alternativa, é possível usar AWS CLI para criar o ecsInstanceRole perfil do IAM. O exemplo a seguir cria um perfil do IAM com uma política de confiança e uma AWS política gerenciada.

Para criar um perfil do IAM e um de instância (AWS CLI)

  1. Crie a seguinte política de confiança e salve-a em um arquivo de texto chamado ecsInstanceRole-role-trust-policy.json.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": { "Service": "ec2.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Use o comando create-role para criar o ecsInstanceRole perfil. Especifique a localização do arquivo da política de confiança no assume-role-policy-document parâmetro.

    $ aws iam create-role \
    --role-name ecsInstanceRole \
    --assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json

    A seguir, uma exemplo de resposta.

    {
    "Role": {
         "Path": "/",
         "RoleName: "ecsInstanceRole",
         "RoleId": "AROAT46P5RDIY4EXAMPLE",
         "Arn": "arn:aws:iam::123456789012:role/ecsInstanceRole".
        "CreateDate": "2022-12-12T23:46:37.247Z",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Service: "ec2.amazonaws.com"
                    }
                    "Action": "sts:AssumeRole",
                 }
              ]
          }
        }

  3. Use o comando create-instance-profile para criar um perfil de instância chamado ecsInstanceRole.

    nota

    Você precisa criar funções e perfis de instância como ações separadas no AWS CLI e na AWS API. 

    $ aws iam create-instance-profile --instance-profile-name ecsInstanceRole

    A seguir, uma exemplo de resposta.

    {
    "InstanceProfile": {
        "Path": "/",
        "InstanceProfileName": "ecsInstanceRole",
        "InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
        "Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
        "CreateDate": "2022-06-30T23:53:34.093Z",
        "Roles": [],    }
}

  4. Use o comando add-role-to-instance-profile para adicionar a ecsInstanceRole função ao ecsInstanceRole perfil de instância.

    aws iam add-role-to-instance-profile \
    --role-name ecsInstanceRole --instance-profile-name ecsInstanceRole

  5. Use o comando attach-role-policy para anexar a AmazonEC2ContainerServiceforEC2Role AWS política gerenciada ao ecsInstanceRole perfil.

    $ aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
    --role-name ecsInstanceRole