Die EventBridge Rolle erstellen Anfügen einer Richtlinie an eine ecsEventsRole-Rolle

Amazon ECS EventBridge IAM-Rolle

Bevor Sie geplante Amazon ECS-Aufgaben mit EventBridge Regeln und Zielen verwenden können, benötigt der EventBridge Service Berechtigungen, um Amazon ECS-Aufgaben in Ihrem Namen auszuführen. Diese Berechtigungen werden von der EventBridge -IAM-Rolle bereitgestellt (ecsEventsRole).

Die Richtlinie AmazonEC2ContainerServiceEventsRole wird unten gezeigt.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ecs:RunTask"],
            "Resource": ["*"]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["*"],
            "Condition": {
                "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ecs:TagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecs:CreateAction": ["RunTask"]
                }
            }
        }
    ]
}

Wenn Ihre geplanten Aufgaben die Verwendung einer Aufgabenausführungsrolle, einer Aufgabenrolle oder einer Aufgabenrollenüberschreibung erfordern, müssen Sie der EventBridge IAM-Rolle iam:PassRole Berechtigungen für jede Aufgabenausführungsrolle, Aufgabenrolle oder Aufgabenrollenüberschreibung hinzufügen. Weitere Informationen zur Aufgabenausführungsrolle finden Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung.

Anmerkung

Geben Sie den vollständigen ARN Ihrer Aufgabenausführungsrolle oder Ihres Aufgabenrollen-Overrides an.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

Sie können wählen, ob Sie die EventBridge Rolle für Sie AWS Management Console erstellen lassen möchten, wenn Sie eine geplante Aufgabe konfigurieren. Weitere Informationen finden Sie unter Amazon EventBridge Scheduler zur Planung von Amazon ECS-Aufgaben verwenden .

Die EventBridge Rolle erstellen

Ersetzen Sie alles user input durch Ihre eigenen Informationen.

Erstellen Sie eine Datei namens eventbridge-trust-policy.json, die die Vertrauensrichtlinie enthält, die für die IAM-Rolle verwendet werden soll. Die Datei sollte Folgendes enthalten:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Verwenden Sie den folgenden Befehl, um eine IAM-Rolle zu erstellen, die ecsEventsRole mithilfe der Vertrauensrichtlinie benannt wird, die Sie im vorherigen Schritt erstellt haben.
```
aws iam create-role \
      --role-name ecsEventsRole \
      --assume-role-policy-document file://eventbridge-trust-policy.json
```

Hängen Sie die AWS verwaltete AmazonEC2ContainerServiceEventsRole Datei mit dem folgenden Befehl an die ecsEventsRole Rolle an.


aws iam attach-role-policy \
      --role-name ecsEventsRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceEventsRole

Sie können die Rolle auch mithilfe des Workflows für benutzerdefinierte Vertrauensrichtlinien (https://console.aws.amazon.com/iam/) der IAM-Konsole erstellen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

Anfügen einer Richtlinie an eine `ecsEventsRole`-Rolle

Sie können die folgenden Verfahren verwenden, um der EventBridge IAM-Rolle Berechtigungen für die Aufgabenausführungsrolle hinzuzufügen.

AWS Management Console

So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/
Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

Wenn Sie zum ersten Mal Policies (Richtlinien) auswählen, erscheint die Seite Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien). Wählen Sie Get Started.
Wählen Sie oben auf der Seite Create policy (Richtlinie erstellen) aus.
Wählen Sie im Bereich Policy editor (Richtlinien-Editor) die Option JSON aus.

Geben Sie folgendes JSON-Richtliniendokument ein:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

Wählen Sie Weiter aus.

Anmerkung
Sie können jederzeit zwischen den Editoroptionen Visual und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual-Editor Weiter wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Richtlinienrestrukturierung im IAM-Benutzerhandbuch.
Geben Sie auf der Seite Prüfen und erstellen unter Richtlinienname einen Namen und unter Beschreibung (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.
Wählen Sie Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie die Richtlinie erstellt haben, fügen Sie die Richtlinie der EventBridge Rolle hinzu. Informationen zum Anhängen der Richtlinie an die Rolle finden Sie unter Aktualisieren von Berechtigungen für eine Rolle im AWS Identity and Access Management Benutzerhandbuch.

AWS CLI

Ersetzen Sie alles user input durch Ihre eigenen Informationen.

Erstellen Sie eine Datei mit dem Namen ev-iam-passrole.json und folgendem Inhalt.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
        }
    ]
}

Verwenden Sie den folgenden AWS CLI Befehl, um die IAM-Richtlinie mithilfe der JSON-Richtliniendokumentdatei zu erstellen.


aws iam create-policy \
      --policy-name eventsTaskExecutionPolicy \
      --policy-document file://ev-iam-passrole.json

Rufen Sie den ARN der IAM-Richtlinie ab, die Sie mit dem folgenden Befehl erstellt haben.


aws iam list-policies --scope Local --query 'Policies[?PolicyName==`eventsTaskExecutionPolicy`].Arn'

Verwenden Sie den folgenden Befehl, um die Richtlinie mithilfe des EventBridge Richtlinien-ARN an die IAM-Rolle anzuhängen.


aws iam attach-role-policy \
      --role-name ecsEventsRole \
      --policy-arn arn:aws:iam:111122223333:aws:policy/eventsTaskExecutionPolicy

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

CodeDeploy IAM-Rolle

Erforderliche Berechtigungen für die Amazon-ECS-Konsole