Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de rôles pour gérer les instances gérées Amazon ECS
Amazon Elastic Container Service utilise des AWS Identity and Access Management rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à Amazon ECS. Les rôles liés à un service sont prédéfinis par Amazon ECS et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service simplifie la configuration d'Amazon ECS, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. Amazon ECS définit les autorisations de ses rôles liés à un service ; sauf définition contraire, seul Amazon ECS peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Vos ressources Amazon ECS sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l’autorisation d’accéder aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services qui fonctionnent avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôles liés à un service. Sélectionnez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
Autorisations du rôle lié à un service pour Amazon ECS
Amazon ECS utilise le rôle lié au service nommé AWSServiceRoleForECSCompute— Rôle pour permettre à Amazon ECS de gérer les instances EC2 gérées par Amazon, fournies par le fournisseur de capacité des instances gérées Amazon ECS.
Le rôle AWSService RoleFor ECSCompute lié à un service fait confiance aux services suivants pour assumer le rôle :
-
ecs-compute.amazonaws.com
La politique d’autorisations liée au rôle nommée AmazonECSComputeServiceRolePolicy permet à Amazon ECS de réaliser les actions suivantes :
-
Amazon ECS peut décrire et supprimer des modèles de lancement.
-
Amazon ECS peut décrire et supprimer les versions des modèles de lancement.
-
Amazon ECS peut mettre fin à des instances.
-
Amazon ECS peut décrire les paramètres de données d’instance suivants :
-
Instance
-
Interfaces réseau d'instances : Amazon ECS peut décrire les interfaces permettant de gérer le cycle de vie des EC2 instances.
-
Fenêtre d’événements d’instance : Amazon ECS peut décrire les informations de la fenêtre d’événements afin de déterminer si le flux de travail peut être interrompu pour appliquer des correctifs à l’instance.
-
État de l’instance : Amazon ECS peut décrire l’état de l’instance afin de surveiller son état.
-
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.
Création d'un rôle lié à un service pour Amazon ECS
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un fournisseur de capacité pour les instances gérées Amazon ECS dans AWS Management Console AWS CLI, l'API ou l' AWS API, Amazon ECS crée le rôle lié au service pour vous.
Important
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Si vous utilisiez le service Amazon ECS avant le 1er janvier 2017, date à laquelle il a commencé à prendre en charge les rôles liés au service, Amazon ECS a créé le ECSCompute ServiceRolePolicy rôle Amazon dans votre compte. Pour en savoir plus, voir Un nouveau rôle est apparu dans mon Compte AWS.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un fournisseur de capacité pour les instances gérées Amazon ECS, Amazon ECS recrée le rôle lié à un service en votre nom.
Si vous supprimez ce rôle lié à un service, vous pouvez utiliser le même processus IAM pour recréer le rôle.
Modification d'un rôle lié à un service pour Amazon ECS
Amazon ECS ne vous permet pas de modifier le rôle ECSCompute ServiceRolePolicy lié à un service Amazon. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Suppression d'un rôle lié à un service pour Amazon ECS
Il n'est pas nécessaire de supprimer manuellement le ECSCompute ServiceRolePolicy rôle Amazon. Lorsque vous supprimez tous les fournisseurs de capacité des instances gérées Amazon ECS dans toutes les régions de l' AWS Management Console API AWS CLI, de l' AWS API ou de l'API, Amazon ECS nettoie les ressources et supprime le rôle lié au service pour vous.
Suppression manuelle du rôle lié au service
Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié à un ECSCompute ServiceRolePolicy service Amazon. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Régions prises en charge pour les rôles liés à un service Amazon ECS
Amazon ECS prend en charge l’utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez la section Régions et points de terminaison AWS.
