Utilisation des rôles liés à un service pour Amazon ECS - Amazon Elastic Container Service
Autorisations du rôle lié à un service pour Amazon ECSCréation d'un rôle lié à un service pour Amazon ECSModification d'un rôle lié à un service pour Amazon ECSSuppression d'un rôle lié à un service pour Amazon ECSRégions prises en charge pour les rôles liés à un service Amazon ECS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des rôles liés à un service pour Amazon ECS

Amazon Elastic Container Service utilise des AWS Identity and Access Management rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à Amazon ECS. Les rôles liés à un service sont prédéfinis par Amazon ECS et incluent toutes les autorisations requises par le service pour appeler d'autres services AWS en votre nom.

Un rôle lié à un service simplifie la configuration d'Amazon ECS, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. Amazon ECS définit les autorisations de ses rôles liés à un service ; sauf définition contraire, seul Amazon ECS peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services qui fonctionnent avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôles liés à un service. Sélectionnez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.

Autorisations du rôle lié à un service pour Amazon ECS

Amazon ECS utilise le rôle lié à un service nommé AWSService RoleFor ECS.

Le rôle lié au service AWSService RoleFor ECS fait confiance aux services suivants pour assumer le rôle :

  • ecs.amazonaws.com

La politique d'autorisations de rôle nommée Amazon ECSService RolePolicy permet à Amazon ECS d'effectuer les actions suivantes sur les ressources spécifiées :

  • Action : lorsque vous utilisez le mode réseau de awsvpc pour vos tâches Amazon ECS, Amazon ECS gère le cycle de vie des interfaces réseau élastiques associées à la tâche. Cela inclut également les balises que Amazon ECS ajoute à vos interfaces réseau élastiques.

  • Action : lorsque vous utilisez un équilibreur de charge avec votre compte Amazon ECS, Amazon ECS gère l'enregistrement et l'annulation de l'enregistrement des ressources avec l'équilibreur de charge.

  • Action : Lorsque vous utilisez Amazon ECS Service Discovery, Amazon ECS gère la Route 53 et les AWS Cloud Map ressources nécessaires au bon fonctionnement de la découverte de services.

  • Action : lorsque vous utilisez le service de mise à l'échelle Amazon ECS, Amazon ECS gère les ressources Auto Scaling requises.

  • Action : Amazon ECS crée et gère des CloudWatch alarmes et des flux de journaux qui facilitent la surveillance de vos ressources Amazon ECS.

  • Action : lorsque vous utilisez Amazon ECS Exec, Amazon ECS gère les autorisations nécessaires pour démarrer des sessions Amazon ECS Exec pour vos tâches.

  • Action : lorsque vous utilisez Amazon ECS Service Connect, Amazon ECS gère les ressources AWS Cloud Map requises pour utiliser la fonctionnalité.

  • Action : Lorsque vous utilisez des fournisseurs de capacité Amazon ECS, Amazon ECS gère les autorisations requises pour modifier le groupe Auto Scaling et ses EC2 instances Amazon.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.

Création d'un rôle lié à un service pour Amazon ECS

Dans la plupart des cas, vous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un cluster ou que vous créez ou mettez à jour un service dans l' AWS Management Console AWS CLI AWS API, Amazon ECS crée le rôle lié au service pour vous. Si le rôle AWSServiceRoleForECS n'apparaît pas après avoir créé un cluster, effectuez les opérations suivantes pour résoudre le problème :

  • Vérifiez et configurez les autorisations de manière à permettre à Amazon ECS de créer, modifier ou supprimer un rôle lié à un service en votre nom. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.

  • Réessayez l'opération de création de cluster ou créez manuellement le rôle lié à un service.

    Vous pouvez utiliser la console IAM pour créer le rôle lié au service AWSServiceRoleForECS. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du ecs.amazonaws.com service. Pour plus d’informations, consultez Création d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Important

Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un cluster, ou lorsque vous créez ou mettez à jour un service, Amazon ECS crée à nouveau le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service, vous pouvez utiliser le même processus IAM pour recréer le rôle.

Modification d'un rôle lié à un service pour Amazon ECS

Amazon ECS ne vous permet pas de modifier le rôle lié au service AWSService RoleFor ECS. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, voir Mettre à jour un rôle lié à un service dans le Guide de l'utilisateur IAM.

Suppression d'un rôle lié à un service pour Amazon ECS

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Note

Si le service Amazon ECS utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour vérifier si une session est active pour le rôle lié à un service

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Roles et choisissez le nom AWSService RoleFor ECS (pas la case à cocher).

  3. Sur la page Résumé, choisissez Access Advisor et consultez l'activité récente pour le rôle lié à un service.

    Note

    Si vous ne savez pas si Amazon ECS utilise le rôle AWSService RoleFor ECS, vous pouvez essayer de le supprimer. Si le service utilise le rôle, la suppression échoue et vous avez accès aux régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d'un rôle lié à un service.

Pour supprimer les ressources Amazon ECS utilisées par le rôle AWSService RoleFor lié au service ECS

Vous devez supprimer tous les clusters Amazon ECS dans toutes les AWS régions avant de pouvoir supprimer le rôle AWSService RoleFor ECS.

  1. Arrêtez tous les services Amazon ECS en indiquant 0 comme nombre souhaité dans toutes les régions, puis supprimez-les. Pour plus d’informations, consultez Mettre à jour un service Amazon ECS et Supprimer un service Amazon ECS à l'aide de la console.

  2. Forcez l'annulation de l'inscription de toutes les instances de conteneur de tous les clusters dans toutes les régions. Pour de plus amples informations, veuillez consulter Annulation de l'enregistrement d'une instance de conteneur Amazon ECS.

  3. Supprimez tous les clusters Amazon ECS dans toutes les régions. Pour de plus amples informations, veuillez consulter Suppression d'un cluster Amazon ECS.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au service AWSService RoleFor ECS. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Régions prises en charge pour les rôles liés à un service Amazon ECS

Amazon ECS prend en charge l'utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez Régions et points de terminaison AWS.