Rôle IAM dans l'infrastructure Amazon ECS - Amazon Elastic Container Service
Création du rôle d’infrastructure Amazon ECS Autorisation de transmettre le rôle d’infrastructure à Amazon ECS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle IAM dans l'infrastructure Amazon ECS

Un rôle IAM d’infrastructure Amazon ECS permet à Amazon ECS de gérer les ressources d’infrastructure de vos clusters en votre nom. Il est utilisé dans les cas suivants :

  • Vous souhaitez associer des volumes Amazon EBS à vos tâches Amazon ECS de type Fargate ou de EC2 lancement. Le rôle d’infrastructure permet à Amazon ECS de gérer les volumes Amazon EBS pour vos tâches.

    Vous pouvez utiliser la politique gérée AmazonECSInfrastructureRolePolicyForVolumes

  • Vous souhaitez utiliser le protocole TLS (Transport Layer Security) pour chiffrer le trafic entre vos services Amazon ECS Service Connect.

    Vous pouvez utiliser la politique gérée AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

  • Vous souhaitez créer des groupes cibles Amazon VPC Lattice.

    Vous pouvez utiliser la politique gérée AmazonECSInfrastructureRolePolicyForVpcLattice

  • Vous souhaitez utiliser des instances gérées Amazon ECS dans vos clusters Amazon ECS. Le rôle d’infrastructure permet à Amazon ECS de gérer le cycle de vie des instances gérées.

    Vous pouvez utiliser la politique gérée AmazonECSInfrastructureRolePolicyForManagedInstances

Lorsqu’Amazon ECS assume ce rôle pour prendre des mesures en votre nom, les événements seront visibles dans AWS CloudTrail. Si Amazon ECS utilise le rôle pour gérer les volumes Amazon EBS associés à vos tâches, le CloudTrail journal le roleSessionName seraECSTaskVolumesForEBS. Si le rôle est utilisé pour chiffrer le trafic entre vos services Service Connect, le CloudTrail journal le roleSessionName seraECSServiceConnectForTLS. Si le rôle est utilisé pour créer des groupes cibles pour VPC Lattice, le CloudTrail journal roleSessionName le sera. ECSNetworkingWithVPCLattice Si le rôle est utilisé pour gérer les instances gérées Amazon ECS, le CloudTrail journal le roleSessionName seraECSManagedInstancesForCompute. Vous pouvez utiliser ce nom pour rechercher des événements dans la CloudTrail console en filtrant par nom d'utilisateur.

Amazon ECS fournit des politiques gérées qui contiennent les autorisations requises pour l’attachement de volumes, le protocole TLS, VPC Lattice et les instances gérées. Pour plus d'informations, consultez Amazon ECSInfrastructure RolePolicyForVolumes, Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity AmazonECSInfrastructureRolePolicyForVpcLattice, Amazon et Amazon ECSInfrastructure RolePolicyForManagedInstances dans le AWS Managed Policy Reference Guide.

Création du rôle d’infrastructure Amazon ECS

Remplacez le tout user input par vos propres informations.

  1. Créez un fichier nommé ecs-infrastructure-trust-policy.json contenant la stratégie d'approbation à utiliser pour le rôle IAM. Le fichier doit contenir ce qui suit :

    JSON
    {
  "Version":"2012-10-17",		 	 	  
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Utilisez la AWS CLI commande suivante pour créer un rôle nommé ecsInfrastructureRole en utilisant la politique de confiance que vous avez créée à l'étape précédente.

    aws iam create-role \
      --role-name ecsInfrastructureRole \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. En fonction de votre cas d'utilisation, associez la politique gérée au ecsInfrastructureRole rôle.

    • Pour associer des volumes Amazon EBS à votre Fargate ou à des tâches Amazon ECS de type EC2 lancement, joignez la politique gérée. AmazonECSInfrastructureRolePolicyForVolumes

    • Pour utiliser le protocole TLS (Transport Layer Security) afin de chiffrer le trafic entre vos services Amazon ECS Service Connect, joignez la politique AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity gérée.

    • Pour créer des groupes cibles Amazon VPC Lattice, joignez la AmazonECSInfrastructureRolePolicyForVpcLattice politique gérée.

    • Vous souhaitez utiliser des instances gérées Amazon ECS dans vos clusters Amazon ECS, joignez la politique AmazonECSInfrastructureRolePolicyForManagedInstances gérée.

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForManagedInstances

Vous pouvez également utiliser le flux de travail Stratégie d’approbation personnalisée de la console IAM pour créer le rôle. Pour plus d’informations, reportez-vous à la section Création d’un rôle à l’aide de politiques de confiance personnalisées (console) dans le Guide de l’utilisateur IAM.

Important

Si le rôle d’infrastructure est utilisé par Amazon ECS pour gérer les volumes Amazon EBS associés à vos tâches, assurez-vous de ce qui suit avant d’arrêter les tâches qui utilisent des volumes Amazon EBS.

  • Le rôle n’est pas supprimé.

  • La stratégie d’approbation associée au rôle n’est pas modifiée pour supprimer l’accès Amazon ECS (ecs.amazonaws.com).

  • La politique gérée AmazonECSInfrastructureRolePolicyForVolumes n’est pas supprimée. Si vous devez modifier les autorisations du rôle, conservez au moins ec2:DetachVolume, ec2:DeleteVolume et ec2:DescribeVolumes pour la suppression du volume.

Si vous supprimez ou modifiez le rôle avant d’arrêter les tâches associées à des volumes Amazon EBS, les tâches resteront bloquées en DEPROVISIONING et les volumes Amazon EBS associés ne seront pas supprimés. Amazon ECS réessaiera automatiquement à intervalles réguliers d’arrêter la tâche et de supprimer le volume jusqu’à ce que les autorisations nécessaires soient rétablies. Vous pouvez consulter l'état d'attachement au volume d'une tâche et la raison du statut associée à l'aide de l'DescribeTasksAPI.

Une fois le fichier créé, vous devez autoriser votre utilisateur à transmettre le rôle à Amazon ECS.

Autorisation de transmettre le rôle d’infrastructure à Amazon ECS

Pour utiliser un rôle IAM d’infrastructure ECS, vous devez accorder à votre utilisateur l’autorisation de transmettre le rôle à Amazon ECS. Attachez les autorisations iam:PassRole suivantes à votre utilisateur. ecsInfrastructureRoleRemplacez-le par le nom du rôle d'infrastructure que vous avez créé.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Pour plus d'informations sur les autorisations de votre utilisateur iam:Passrole et leur mise à jour, consultez les sections Octroi à un utilisateur des autorisations lui permettant de transférer un rôle à un AWS service et Modification des autorisations d'un utilisateur IAM dans le guide de l'AWS Identity and Access Management utilisateur.