IAM-Rollen für Amazon ECS - Amazon Elastic Container Service

IAM-Rollen für Amazon ECS

Eine IAM-Rolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. In Amazon ECS können Sie Rollen erstellen, um Berechtigungen für Amazon-ECS-Ressourcen wie Container oder Services zu erteilen.

Die Rollen, die Amazon ECS benötigt, hängen vom Starttyp der Aufgabendefinition und den von Ihnen verwendeten Features ab. Bestimmen Sie anhand der folgenden Tabelle, welche IAM-Rollen Sie für Amazon ECS benötigen.

Rolle Definition Bei Bedarf Weitere Informationen
Aufgabenausführungsrolle Diese Rolle erlaubt es Amazon ECS, andere AWS-Services in Ihrem Namen zu verwenden.

Ihre Aufgabe wird in AWS Fargate oder auf externen Instances gehostet und:

  • ruft ein Container-Image aus einem privaten Amazon ECR-Repository ab.

  • ruft ein Container-Image aus einem privaten Amazon-ECR-Repository ab, das sich in einem anderen Konto befindet als das Konto, das die Aufgabe ausführt.

  • sendet Container-Protokolle mithilfe des awslogs-Protokolltreibers an CloudWatch Logs.

Ihre Aufgabe wird entweder in AWS Fargate oder auf Amazon-EC2-Instances gehostet und:

  • benutzen Private-Registry-Authentifizierung.

  • benutzt Runtime Monitoring.

  • die Aufgabendefinition verweist auf sensible Daten mithilfe von Secrets-Manager-Geheimnissen oder Parametern von AWS Systems Manager Parameter Store.

 IAM-Rolle für die Amazon-ECS-Aufgabenausführung
Aufgabenrolle Diese Rolle ermöglicht es Ihrem Anwendungscode (in dem Container), andere AWS-Services zu verwenden. Ihre Anwendung greift auf andere AWS-Services wie Amazon S3 zu. Aufgaben-IAM-Rolle für Amazon ECS
Rolle für Container-Instances Diese Rolle ermöglicht es Ihren EC2-Instances oder externen Instances, sich beim Cluster zu registrieren. Ihre Aufgabe wird auf Amazon-EC2-Instances oder einer externen Instance gehostet. IAM-Rolle für Amazon-ECS-Container-Instance
Rolle für Amazon ECS Anywhere Diese Rolle ermöglicht Ihren externen Instances den Zugriff auf AWS-APIs. Ihre Aufgabe wird auf externen Instances gehostet. IAM-Rolle für Amazon ECS Anywhere
Amazon-ECS-Infrastrukturrolle für Load Balancer Diese Rolle ermöglicht es Amazon ECS, in Ihrem Namen Load-Balancer-Ressourcen in Ihren Clustern für Blau-Grün-Bereitstellungen zu verwalten. Sie möchten Amazon-ECS-Blau/Grün-Bereitstellungen verwenden. Amazon-ECS-IAM-Infrastrukturrolle für Load Balancer
Rolle für Amazon ECS CodeDeploy Diese Rolle ermöglicht es CodeDeploy, Aktualisierungen an Ihren Services vorzunehmen. Verwenden Sie den Blau/Grün-Bereitstellungstyp von CodeDeploy, um Services bereitzustellen. Amazon ECS CodeDeploy IAM-Rolle
Rolle für Amazon ECS EventBridge Diese Rolle ermöglicht es EventBridge, Aktualisierungen an Ihren Services vorzunehmen. Sie verwenden die EventBridge-Regeln und -Ziele, um Ihre Aufgaben zu planen. EventBridge-IAM-Rolle für Amazon ECS
Amazon-ECS-Infrastrukturrolle Diese Rolle ermöglicht es Amazon ECS, Infrastrukturressourcen in Ihren Clustern zu verwalten.

  • Sie möchten Amazon ECS Managed Instances für Ihre Kapazität verwenden.

  • Sie Amazon-EBS-Volumes an Ihre Amazon-ECS-Aufgaben mit dem Starttyp Fargate oder EC2 anhängen. Die Infrastrukturrolle ist die Rolle, mit der Amazon ECS die Amazon-EBS-Volumes für Ihre Aufgaben verwalten kann.

  • Sie möchten Transport Layer Security (TLS) verwenden, um den Datenverkehr zwischen Ihren Services von Amazon ECS Service Connect zu verschlüsseln.

  • Sie möchten VPC-Lattice-Zielgruppen erstellen.

 IAM-Rolle für die Amazon-ECS-Infrastruktur
Instance-Profil Diese Rolle ermöglicht es Amazon ECS Managed Instances, die Infrastrukturrolle sicher zu übernehmen. Sie verwenden Amazon ECS Managed Instances in Ihren Clustern. Instance-Profil von Amazon ECS Managed Instances