Erstellen der Amazon-ECS-Infrastrukturrolle Berechtigung zur Weitergabe der Infrastrukturrolle an Amazon ECS

IAM-Rolle für die Amazon ECS-Infrastruktur

Eine IAM-Infrastrukturrolle von Amazon ECS ermöglicht es Amazon ECS, die Infrastruktur-Ressourcen in Ihren Clustern in Ihrem Namen zu verwalten. Diese Rolle wird verwendet, wenn:

Sie möchten Amazon EBS-Volumes an Ihr Fargate anhängen oder Amazon ECS-Aufgaben EC2 starten. Die Infrastrukturrolle ist die Rolle, mit der Amazon ECS die Amazon-EBS-Volumes für Ihre Aufgaben verwalten kann.

Sie können die AmazonECSInfrastructureRolePolicyForVolumes-verwaltete Richtlinie verwenden.
Sie möchten Transport Layer Security (TLS) verwenden, um den Datenverkehr zwischen Ihren Services von Amazon ECS Service Connect zu verschlüsseln.

Sie können die AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity-verwaltete Richtlinie verwenden.
Sie möchten Zielgruppen für Amazon VPC Lattice erstellen.

Sie können die AmazonECSInfrastructureRolePolicyForVpcLattice-verwaltete Richtlinie verwenden.
Sie möchten Amazon ECS Managed Instances in Ihren Amazon-ECS-Clustern verwenden. Die Infrastrukturrolle ermöglicht es Amazon ECS, den Lebenszyklus verwalteter Instances zu verwalten.

Sie können die AmazonECSInfrastructureRolePolicyForManagedInstances-verwaltete Richtlinie verwenden.

Wenn Amazon ECS diese Rolle übernimmt, um in Ihrem Namen Aktionen auszuführen, werden die Ereignisse in AWS CloudTrail sichtbar. Wenn Amazon ECS die Rolle zur Verwaltung von Amazon EBS-Volumes verwendet, die Ihren Aufgaben zugeordnet sind, roleSessionName wird ECSTaskVolumesForEBS das CloudTrail Protokoll gespeichert. Wenn die Rolle zur Verschlüsselung des Datenverkehrs zwischen Ihren Service Connect-Diensten verwendet wird, roleSessionName wird ECSServiceConnectForTLS das CloudTrail Protokoll gespeichert. Wenn die Rolle verwendet wird, um Zielgruppen für VPC Lattice zu erstellen, roleSessionName wird das CloudTrail Protokoll verwendet. ECSNetworkingWithVPCLattice Wenn die Rolle zur Verwaltung von Amazon ECS Managed Instances verwendet wird, roleSessionName wird das CloudTrail Protokoll gespeichertECSManagedInstancesForCompute. Sie können diesen Namen verwenden, um nach Ereignissen in der CloudTrail Konsole zu suchen, indem Sie nach dem Benutzernamen filtern.

Amazon ECS stellt verwaltete Richtlinien bereit, die die erforderlichen Berechtigungen für Volume-Anhänge, TLS, VPC Lattice und verwaltete Instances enthalten. Weitere Informationen finden Sie unter Amazon ECSInfrastructure RolePolicyForVolumes, Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity AmazonECSInfrastructureRolePolicyForVpcLattice, Amazon und Amazon ECSInfrastructure RolePolicyForManagedInstances im AWS Managed Policy Reference Guide.

Erstellen der Amazon-ECS-Infrastrukturrolle

Ersetzen Sie alles user input durch Ihre eigenen Informationen.

Erstellen Sie eine Datei namens ecs-infrastructure-trust-policy.json, die die Vertrauensrichtlinie enthält, die für die IAM-Rolle verwendet werden soll. Die Datei sollte Folgendes enthalten:

Verwenden Sie den folgenden AWS CLI Befehl, um eine Rolle zu erstellen, die ecsInfrastructureRole mithilfe der Vertrauensrichtlinie benannt wird, die Sie im vorherigen Schritt erstellt haben.
```
aws iam create-role \
      --role-name ecsInfrastructureRole \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
```
Hängen Sie je nach Anwendungsfall die verwaltete Richtlinie an die ecsInfrastructureRole Rolle an.
- Um Amazon EBS-Volumes an Ihre Fargate- oder Amazon ECS-Aufgaben vom Typ EC2 Launch anzuhängen, fügen Sie die AmazonECSInfrastructureRolePolicyForVolumes verwaltete Richtlinie bei.
- Um Transport Layer Security (TLS) zur Verschlüsselung des Datenverkehrs zwischen Ihren Amazon ECS Service Connect-Services zu verwenden, fügen Sie die AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity verwaltete Richtlinie bei.
- Um Amazon VPC Lattice-Zielgruppen zu erstellen, fügen Sie die AmazonECSInfrastructureRolePolicyForVpcLattice verwaltete Richtlinie bei.
- Sie möchten Amazon ECS Managed Instances in Ihren Amazon ECS-Clustern verwenden, fügen Sie die AmazonECSInfrastructureRolePolicyForManagedInstances verwaltete Richtlinie bei.
```
aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
```
```
aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
```
```
aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForManagedInstances
```

Sie können die Rolle auch mithilfe des Workflows für benutzerdefinierte Vertrauensrichtlinien der IAM-Konsole erstellen. Weitere Informationen finden Sie unter Erstellen einer Rolle mit benutzerdefinierten Vertrauensrichtlinien (Konsole) im IAM-Benutzerhandbuch.

Wichtig

Wenn die Infrastrukturrolle von Amazon ECS zur Verwaltung von Amazon-EBS-Volumes verwendet wird, die an Ihre Aufgaben angehängt sind, stellen Sie Folgendes sicher, bevor Sie Aufgaben anhalten, die Amazon-EBS-Volumes verwenden.

Die Rolle wird nicht gelöscht.
Die Vertrauensrichtlinie für die Rolle wurde nicht geändert, um den Amazon-ECS-Zugriff zu entfernen (ecs.amazonaws.com).
Die verwaltete Richtlinie AmazonECSInfrastructureRolePolicyForVolumes wird nicht entfernt. Wenn Sie die Berechtigungen der Rolle ändern müssen, behalten Sie mindestens ec2:DetachVolume. ec2:DeleteVolume und ec2:DescribeVolumes für das Löschen von Volumes bei.

Wenn Sie die Rolle löschen oder ändern, bevor Sie Aufgaben mit angehängten Amazon-EBS-Volumes anhalten, bleiben die Aufgaben in DEPROVISIONING hängen und die zugehörigen Amazon-EBS-Volumes können nicht gelöscht werden. Amazon ECS versucht in regelmäßigen Abständen automatisch erneut, die Aufgabe anzuhalten und das Volume zu löschen, bis die erforderlichen Berechtigungen wiederhergestellt sind. Mithilfe der DescribeTasksAPI können Sie den Status des Volumens der Zuordnung einer Aufgabe und den Grund für den zugehörigen Status einsehen.

Wenn Sie die Datei erstellt haben, müssen Sie Ihrem Benutzer die Berechtigung erteilen, die Rolle an Amazon ECS zu übergeben.

Berechtigung zur Weitergabe der Infrastrukturrolle an Amazon ECS

Um eine ECS-Infrastruktur-IAM-Rolle zu verwenden, müssen Sie Ihrem Benutzer die Berechtigung erteilen, die Rolle an Amazon ECS zu übergeben. Fügen Sie Ihrem Benutzer die folgende iam:PassRole-Berechtigungen an: ecsInfrastructureRoleErsetzen Sie ihn durch den Namen der Infrastrukturrolle, die Sie erstellt haben.

Weitere Informationen zu Benutzerberechtigungen iam:Passrole und deren Aktualisierung finden Sie unter Gewähren von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst und Ändern der Berechtigungen für einen IAM-Benutzer im AWS Identity and Access Management Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IAM-Rolle für Amazon ECS Anywhere

Instance-Profil von Amazon ECS Managed Instances