IAM-Rolle für Amazon ECS Anywhere - Amazon Elastic Container Service
Erstellen der Rolle für Amazon ECS Anywhere

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Rolle für Amazon ECS Anywhere

Wenn Sie einen lokalen Server oder eine virtuelle Maschine (VM) in Ihrem Cluster registrieren, benötigt der Server oder die VM eine IAM-Rolle für die Kommunikation. AWS APIs Sie müssen diese IAM-Rolle nur einmal für jedes Konto erstellen. AWS Diese IAM-Rolle muss jedoch jedem Server oder VM zugeordnet werden, den/die Sie bei einem Cluster registrieren. Diese Rolle ist ECSAnywhereRole. Sie können diese Rolle manuell erstellen. Alternativ kann Amazon ECS die Rolle in Ihrem Namen erstellen, wenn Sie eine externe Instance in AWS-Managementkonsole registrieren. Sie können die IAM-Konsole verwenden, um nach ecsAnywhereRole zu suchen und festzustellen, ob Ihr Konto bereits über die Rolle verfügt. Weitere Informationen finden Sie unter IAM-Konsolensuche im IAM-Benutzerhandbuch.

AWS stellt zwei verwaltete IAM-Richtlinien bereit, die bei der Erstellung der ECS Anywhere-IAM-Rolle verwendet werden können: die AmazonSSMManagedInstanceCore Richtlinien und. AmazonEC2ContainerServiceforEC2Role Die AmazonEC2ContainerServiceforEC2Role-Richtlinie enthält Berechtigungen, die wahrscheinlich mehr Zugriff bieten, als Sie benötigen. Daher empfiehlt es sich, je nach Anwendungsfall eine benutzerdefinierte Richtlinie zu erstellen, die nur die Berechtigungen dieser Richtlinie hinzufügt, die Sie in dieser Richtlinie benötigen. Weitere Informationen finden Sie unter IAM-Rolle für Amazon-ECS-Container-Instance.

Die IAM-Rolle für die Aufgabenausführung, die dem Amazon-ECS-Containeragenten die Berechtigung erteilt, AWS -API-Aufrufe in Ihrem Namen durchzuführen. Wenn eine IAM-Rolle für die Aufgabenausführung verwendet wird, muss sie in der Aufgabendefinition angegeben werden. Weitere Informationen finden Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung.

Die Aufgabenausführungsrolle ist erforderlich, wenn eine der folgenden Bedingungen zutrifft:

  • Sie senden Container-Logs mithilfe des CloudWatch Log-Treibers an awslogs Logs.

  • Ihre Aufgabendefinition gibt ein Container-Image an, das in einem privaten Amazon ECR-Repository gehostet wird. Wenn die ECSAnywhereRole-Rolle, die Ihrer externen Instance zugeordnet ist, jedoch auch die Berechtigungen enthält, die zum Abrufen von Images aus Amazon ECR erforderlich sind, dann muss Ihre Aufgabenausführungsrolle sie nicht einschließen.

Erstellen der Rolle für Amazon ECS Anywhere

Ersetzen Sie alles user input durch Ihre eigenen Informationen.

  1. Erstellen Sie eine Datei namens ssm-trust-policy.json mit der folgenden Vertrauensrichtlinie:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Principal": {"Service": [
      "ssm.amazonaws.com"
    ]},
    "Action": "sts:AssumeRole"
  }
}

  2. Erstellen Sie die Rolle und hängen Sie die Vertrauensrichtlinie mit dem folgenden AWS CLI -Befehl an.

    aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json

  3. Hängen Sie die AWS verwalteten Richtlinien mit dem folgenden Befehl an.

    aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

Sie können die Rolle auch mithilfe des Workflows für benutzerdefinierte IAM-Vertrauensrichtlinien erstellen. Weitere Informationen finden Sie unter Erstellen einer Rolle mit benutzerdefinierten Vertrauensrichtlinien (Konsole) im IAM-Benutzerhandbuch.