Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruolo EventBridge IAM di Amazon ECS
Prima di poter utilizzare le attività pianificate di Amazon ECS con EventBridge regole e obiettivi, il EventBridge servizio necessita delle autorizzazioni per eseguire le attività di Amazon ECS per tuo conto. Queste autorizzazioni vengono fornite dal ruolo IAM di EventBridge (ecsEventsRole).
Di seguito viene mostrata la policy AmazonEC2ContainerServiceEventsRole.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["ecs:RunTask"],
"Resource": ["*"]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": ["*"],
"Condition": {
"StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"}
}
},
{
"Effect": "Allow",
"Action": "ecs:TagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:CreateAction": ["RunTask"]
}
}
}
]
}
Se le tue attività pianificate richiedono l'uso del ruolo di esecuzione dell'attività, di un ruolo di attività o dell'override di un ruolo dell'attività, devi aggiungere iam:PassRole le autorizzazioni per ogni ruolo di esecuzione dell'attività, ruolo dell'attività o sostituzione del ruolo dell'attività al ruolo IAM. EventBridge Per ulteriori informazioni sul ruolo di esecuzione delle attività, consulta Ruolo IAM di esecuzione di attività Amazon ECS.
Specifica l'ARN completo del ruolo di esecuzione delle attività o della sostituzione del ruolo attività.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/ecsTaskExecutionRole_or_TaskRole_name"
]
}
]
}
Puoi scegliere di lasciare che Console di gestione AWS crei il EventBridge ruolo automaticamente quando configuri un'attività pianificata. Per ulteriori informazioni, consulta Utilizzo di Amazon EventBridge Scheduler per pianificare le attività di Amazon ECS .
Creazione del EventBridge ruolo
Sostituisci tutto user input con le tue informazioni.
-
Crea un file denominato eventbridge-trust-policy.json contenente la policy di attendibilità da utilizzare per il ruolo IAM. Il file deve contenere il testo seguente:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
-
Usa il seguente comando per creare un ruolo IAM denominato ecsEventsRole usando la policy di attendibilità creata nel passaggio precedente.
aws iam create-role \
--role-name ecsEventsRole \
--assume-role-policy-document file://eventbridge-trust-policy.json
-
Associa il AWS manager AmazonEC2ContainerServiceEventsRole al ecsEventsRole ruolo usando il seguente comando.
aws iam attach-role-policy \
--role-name ecsEventsRole \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceEventsRole
Puoi anche utilizzare la Custom Trust Policy workflow (https://console.aws.amazon.com/iam/) della console IAM per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando criteri di attendibilità personalizzati (console) nella Guida per l'utente di IAM.
Collegamento di una policy al ruolo ecsEventsRole
È possibile utilizzare le seguenti procedure per aggiungere le autorizzazioni per il ruolo di esecuzione dell'attività al ruolo EventBridge IAM.
- Console di gestione AWS
-
Come utilizzare l'editor di policy JSON per creare una policy
Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
-
Nel riquadro di navigazione a sinistra, seleziona Policies (Policy).
Se è la prima volta che selezioni Policy, verrà visualizzata la pagina Benvenuto nelle policy gestite. Seleziona Inizia.
-
Nella parte superiore della pagina, scegli Crea policy.
-
Nella sezione Editor di policy, scegli l'opzione JSON.
-
Inserisci il documento di policy JSON seguente:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": ["arn:aws:iam::111122223333:role/<ecsTaskExecutionRole_or_TaskRole_name>"]
}
]
}
-
Scegli Next (Successivo).
È possibile alternare le opzioni dell'editor Visivo e JSON in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona Successivo nell'editor Visivo, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta Modifica della struttura delle policy nella Guida per l'utente di IAM.
-
Nella pagina Rivedi e crea, inserisci un valore in Nome policy e Descrizione (facoltativo) per la policy in fase di creazione. Rivedi Autorizzazioni definite in questa policy per visualizzare le autorizzazioni concesse dalla policy.
-
Seleziona Crea policy per salvare la nuova policy.
Dopo aver creato la policy, associa la policy al EventBridge ruolo. Per informazioni su come associare la policy al ruolo, consulta Aggiorna autorizzazioni per un ruolo nella Guida per l'utente di AWS Identity and Access Management
- AWS CLI
Sostituisci tutto user input con le tue informazioni.
-
Crea un file denominato ev-iam-passrole.json, con il seguente contenuto:
JSON
- JSON
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/ecsTaskExecutionRole_or_TaskRole_name"
]
}
]
}
-
Usa il seguente AWS CLI comando per creare la policy IAM utilizzando il file di documento della policy JSON.
aws iam create-policy \
--policy-name eventsTaskExecutionPolicy \
--policy-document file://ev-iam-passrole.json
-
Recupera l'ARN della policy IAM che hai creato usando il seguente comando.
aws iam list-policies --scope Local --query 'Policies[?PolicyName==`eventsTaskExecutionPolicy`].Arn'
-
Usa il comando seguente per collegare la policy al ruolo EventBridge IAM utilizzando la policy ARN.
aws iam attach-role-policy \
--role-name ecsEventsRole \
--policy-arn arn:aws:iam:111122223333:aws:policy/eventsTaskExecutionPolicy
