Ruolo IAM dell'infrastruttura Amazon ECS per i bilanciatori del carico - Amazon Elastic Container Service
Creazione del ruolo dell'infrastruttura Amazon ECS per i bilanciatori del caricoAutorizzazione a trasferire il ruolo dell'infrastruttura ad Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo IAM dell'infrastruttura Amazon ECS per i bilanciatori del carico

Un ruolo IAM dell'infrastruttura Amazon ECS per i bilanciatori del carico consente ad Amazon ECS di gestire le risorse dei bilanciatori del carico nei cluster per te e viene usato quando:

  • Vuoi utilizzare le blue/green distribuzioni con Amazon ECS. Il ruolo infrastruttura consente ad Amazon ECS di gestire le risorse del bilanciatore del carico per le tue implementazioni.

  • È necessario Amazon ECS per creare, modificare o eliminare risorse del bilanciatore del carico, quali gruppi di destinazione e listener, durante le operazioni di implementazione.

Quando Amazon ECS assume questo ruolo per intraprendere azioni per tuo conto, gli eventi saranno visibili in AWS CloudTrail. Se Amazon ECS utilizza il ruolo per gestire le risorse del bilanciamento del carico per le tue distribuzioni blu/green, il log sarà o. CloudTrail roleSessionName ECSNetworkingWithELB ecs-service-scheduler Puoi usare questo nome per cercare eventi nella CloudTrail console filtrando per nome utente.

Amazon ECS fornisce una policy gestita che contiene le autorizzazioni necessarie per la gestione del bilanciatore del carico. Per ulteriori informazioni, consulta Amazon ECSInfrastructure RolePolicyForLoadBalancers nella AWS Managed Policy Reference Guide.

Creazione del ruolo dell'infrastruttura Amazon ECS per i bilanciatori del carico

Sostituisci tutto user input con le tue informazioni.

  1. Crea un file denominato ecs-infrastructure-trust-policy.json contenente la policy di attendibilità da utilizzare per il ruolo IAM. Il file deve contenere il testo seguente:

    JSON
    {
  "Version":"2012-10-17",		 	 	  
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Utilizzate il AWS CLI comando seguente per creare un ruolo denominato ecsInfrastructureRoleForLoadBalancers utilizzando la politica di fiducia creata nel passaggio precedente.

    aws iam create-role \
      --role-name ecsInfrastructureRoleForLoadBalancers \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. Allega la AmazonECSInfrastructureRolePolicyForLoadBalancers politica AWS gestita al ecsInfrastructureRoleForLoadBalancers ruolo.

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRoleForLoadBalancers \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForLoadBalancers

Puoi inoltre usare il flusso di lavoro della policy di attendibilità della console IAM per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando criteri di attendibilità personalizzati (console) nella Guida per l'utente di IAM.

Importante

Se il ruolo di infrastruttura viene utilizzato da Amazon ECS per gestire le risorse di bilanciamento del carico per le tue blue/green distribuzioni, verifica quanto segue prima di eliminare o modificare il ruolo:

  • Il ruolo non viene eliminato durante le implementazioni attive.

  • La policy di attendibilità per il ruolo non viene modificata per rimuovere l'accesso ad Amazon ECS (ecs.amazonaws.com).

  • La policy gestita da AmazonECSInfrastructureRolePolicyForLoadBalancers non viene rimossa mentre sono in corso implementazioni attive.

L'eliminazione o la modifica del ruolo durante le blue/green distribuzioni attive può causare errori di distribuzione e lasciare i servizi in uno stato incoerente.

Dopo aver creato il file, è necessario concedere all'utente l'autorizzazione a trasferire il ruolo ad Amazon ECS.

Autorizzazione a trasferire il ruolo dell'infrastruttura ad Amazon ECS

Per usare un ruolo IAM per i bilanciatori del carico dell'infrastruttura ECS, devi concedere all'utente l'autorizzazione a trasferire il ruolo ad Amazon ECS. Allega la seguente autorizzazione all'utente iam:PassRole. ecsInfrastructureRoleForLoadBalancersSostituiscilo con il nome del ruolo di infrastruttura che hai creato.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRoleForLoadBalancers"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Per ulteriori informazioni iam:Passrole e sull'aggiornamento delle autorizzazioni per il tuo utente, consulta Concessione a un utente delle autorizzazioni per passare un ruolo a un AWS servizio e Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente.AWS Identity and Access Management