Amazon-ECS-IAM-Infrastrukturrolle für Load Balancer - Amazon Elastic Container Service
Erstellen der Amazon-ECS-Infrastrukturrolle für Load BalancerBerechtigung zur Weitergabe der Infrastrukturrolle an Amazon ECS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon-ECS-IAM-Infrastrukturrolle für Load Balancer

Eine IAM-Infrastrukturrolle von Amazon ECS für Load Balancer erlaubt es Amazon ECS, die Load-Balancer-Ressourcen in Ihren Clustern in Ihrem Namen zu verwalten. Diese Rolle wird verwendet, wenn:

  • Sie möchten blue/green Bereitstellungen mit Amazon ECS verwenden. Die Infrastrukturrolle erlaubt es Amazon ECS, Load Balancer-Ressourcen für Ihre Bereitstellungen zu verwalten.

  • Sie benötigen Amazon ECS, um Load Balancer-Ressourcen wie Zielgruppen und Listener während der Bereitstellung zu erstellen, zu ändern oder zu löschen.

Wenn Amazon ECS diese Rolle übernimmt, um in Ihrem Namen Aktionen auszuführen, werden die Ereignisse in AWS CloudTrail sichtbar. Wenn Amazon ECS die Rolle zur Verwaltung von Load Balancer-Ressourcen für Ihre blauen/grünen Bereitstellungen verwendet, lautet roleSessionName das CloudTrail Protokoll oder. ECSNetworkingWithELB ecs-service-scheduler Sie können diesen Namen verwenden, um nach Ereignissen in der CloudTrail Konsole zu suchen, indem Sie nach dem Benutzernamen filtern.

Amazon ECS bietet eine verwaltete Richtlinie, die die erforderlichen Berechtigungen für die Verwaltung von Load Balancer enthält. Weitere Informationen finden Sie unter Amazon ECSInfrastructure RolePolicyForLoadBalancers im AWS Managed Policy Reference Guide.

Erstellen der Amazon-ECS-Infrastrukturrolle für Load Balancer

Ersetzen Sie alles user input durch Ihre eigenen Informationen.

  1. Erstellen Sie eine Datei namens ecs-infrastructure-trust-policy.json, die die Vertrauensrichtlinie enthält, die für die IAM-Rolle verwendet werden soll. Die Datei sollte Folgendes enthalten:

    JSON
    {
  "Version":"2012-10-17",		 	 	  
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Verwenden Sie den folgenden AWS CLI Befehl, um eine Rolle zu erstellen, die ecsInfrastructureRoleForLoadBalancers mithilfe der Vertrauensrichtlinie benannt wird, die Sie im vorherigen Schritt erstellt haben.

    aws iam create-role \
      --role-name ecsInfrastructureRoleForLoadBalancers \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. Hängen Sie die AWS verwaltete AmazonECSInfrastructureRolePolicyForLoadBalancers Richtlinie an die ecsInfrastructureRoleForLoadBalancers Rolle an.

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRoleForLoadBalancers \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForLoadBalancers

Sie können die Rolle auch mithilfe des Workflows für benutzerdefinierte Vertrauensrichtlinien der IAM-Konsole erstellen. Weitere Informationen finden Sie unter Erstellen einer Rolle mit benutzerdefinierten Vertrauensrichtlinien (Konsole) im IAM-Benutzerhandbuch.

Wichtig

Wenn die Infrastrukturrolle von Amazon ECS zur Verwaltung von Load Balancer-Ressourcen für Ihre blue/green Bereitstellungen verwendet wird, stellen Sie Folgendes sicher, bevor Sie die Rolle löschen oder ändern:

  • Die Rolle wird nicht gelöscht, solange aktive Bereitstellungen ausgeführt werden.

  • Die Vertrauensrichtlinie für die Rolle wurde nicht geändert, um den Amazon-ECS-Zugriff zu entfernen (ecs.amazonaws.com).

  • Die verwaltete Richtlinie AmazonECSInfrastructureRolePolicyForLoadBalancers wird nicht entfernt, solange aktive Bereitstellungen ausgeführt werden.

Das Löschen oder Ändern der Rolle während aktiver blue/green Bereitstellungen kann zu Bereitstellungsfehlern führen und dazu führen, dass Ihre Dienste in einem inkonsistenten Zustand bleiben.

Wenn Sie die Datei erstellt haben, müssen Sie Ihrem Benutzer die Berechtigung erteilen, die Rolle an Amazon ECS zu übergeben.

Berechtigung zur Weitergabe der Infrastrukturrolle an Amazon ECS

Um eine ECS-IAM-Infrastrukturrolle für Load Balancer zu verwenden, müssen Sie Ihrem Benutzer die Berechtigung erteilen, die Rolle an Amazon ECS weiterzugeben. Fügen Sie Ihrem Benutzer die folgende iam:PassRole-Berechtigungen an: ecsInfrastructureRoleForLoadBalancersErsetzen Sie es durch den Namen der Infrastrukturrolle, die Sie erstellt haben.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRoleForLoadBalancers"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Weitere Informationen zu Benutzerberechtigungen iam:Passrole und deren Aktualisierung finden Sie unter Gewähren von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst und Ändern der Berechtigungen für einen IAM-Benutzer im AWS Identity and Access Management Benutzerhandbuch.