Ruolo IAM di Amazon ECS Anywhere - Amazon Elastic Container Service
Creazione del ruolo Amazon ECS Anywhere

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo IAM di Amazon ECS Anywhere

Quando registri un server o una macchina virtuale (VM) locale nel tuo cluster, il server o la macchina virtuale richiede un ruolo IAM con cui comunicare. AWS APIs Devi creare questo ruolo IAM solo una volta per ogni account. AWS Tuttavia, questo ruolo IAM deve essere associato a ogni server o macchina virtuale registrato in un cluster. Questo ruolo è il ECSAnywhereRole. Puoi creare questo ruolo manualmente. In alternativa, Amazon ECS può creare il ruolo per tuo conto quando registri un'istanza esterna nella Console di gestione AWS. Puoi usare la ricerca della console IAM per cercare ecsAnywhereRole e controllare se l'account dispone già di un ruolo. Per ulteriori informazioni, consulta Ricerca nella console IAM nella Guida per l'utente IAM .

AWS fornisce due policy IAM gestite che possono essere utilizzate durante la creazione del ruolo IAM ECS Anywhere, AmazonEC2ContainerServiceforEC2Role le AmazonSSMManagedInstanceCore e le policy. La policy AmazonEC2ContainerServiceforEC2Role include autorizzazioni che probabilmente forniscono più accesso del necessario. Pertanto, a seconda del caso d'uso specifico, si consiglia di creare una policy personalizzata aggiungendo solo le autorizzazioni richieste da tale policy. Per ulteriori informazioni, consultare Ruolo IAM delle istanze di container Amazon ECS.

Il ruolo IAM di esecuzione del processo concede all'agente del container di Amazon ECS e agli agenti Fargate l'autorizzazione per effettuare chiamate API AWS per tuo conto. Quando viene utilizzato un ruolo IAM di esecuzione del processo, è necessario specificarlo nella definizione di attività. Per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS.

Il ruolo di esecuzione del processo è obbligatorio se si applica una delle seguenti condizioni:

  • Stai inviando i log dei container a CloudWatch Logs utilizzando il awslogs driver di registro.

  • La definizione di attività specifica un'immagine del container ospitata in un repository privato Amazon ECR. Tuttavia, se il ruolo ECSAnywhereRole associato alla tua istanza esterna include anche le autorizzazioni necessarie per estrarre le immagini da Amazon ECR, allora il ruolo di esecuzione dell'attività non dovrà includerle.

Creazione del ruolo Amazon ECS Anywhere

Sostituisci tutto user input con le tue informazioni.

  1. Creare un file locale denominato ssm-trust-policy.json con la seguente policy di attendibilità:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Principal": {"Service": [
      "ssm.amazonaws.com"
    ]},
    "Action": "sts:AssumeRole"
  }
}

  2. Crea il ruolo e allega la policy di attendibilità utilizzando il seguente comando AWS CLI .

    aws iam create-role --role-name ecsAnywhereRole --assume-role-policy-document file://ssm-trust-policy.json

  3. Allega le politiche AWS gestite utilizzando il seguente comando.

    aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
aws iam attach-role-policy --role-name ecsAnywhereRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

Puoi inoltre usare il flusso di lavoro della policy di fiducia personalizzata IAM per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando criteri di attendibilità personalizzati (console) nella Guida per l'utente di IAM.