Ruolo IAM dell'infrastruttura Amazon ECS - Amazon Elastic Container Service
Creazione del ruolo dell'infrastruttura Amazon ECS Autorizzazione a trasferire il ruolo dell'infrastruttura ad Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo IAM dell'infrastruttura Amazon ECS

Un ruolo IAM dell'infrastruttura Amazon ECS consente ad Amazon ECS di gestire le risorse dell'infrastruttura nei cluster per te e viene usato quando:

  • Vuoi allegare volumi Amazon EBS alle tue attività Fargate EC2 o avviare Amazon ECS. Il ruolo dell'infrastruttura consente ad Amazon ECS di gestire i volumi Amazon EBS per le tue attività.

    Puoi usare le policy gestite AmazonECSInfrastructureRolePolicyForVolumes.

  • Desideri utilizzare Transport Layer Security (TLS) per crittografare il traffico tra i servizi Amazon ECS Service Connect.

    Puoi usare le policy gestite AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.

  • È preferibile creare gruppi di destinazione di Amazon VPC Lattice.

    Puoi usare le policy gestite AmazonECSInfrastructureRolePolicyForVpcLattice.

  • È preferibile le istanze gestite da Amazon ECS nei tuoi cluster Amazon ECS. Il ruolo dell'infrastruttura consente ad Amazon ECS di gestire il ciclo di vita delle istanze gestite.

    Puoi usare le policy gestite AmazonECSInfrastructureRolePolicyForManagedInstances.

Quando Amazon ECS assume questo ruolo per intraprendere azioni per tuo conto, gli eventi saranno visibili in AWS CloudTrail. Se Amazon ECS utilizza il ruolo per gestire i volumi Amazon EBS collegati alle tue attività, il CloudTrail log roleSessionName sarà. ECSTaskVolumesForEBS Se il ruolo viene utilizzato per crittografare il traffico tra i servizi Service Connect, il CloudTrail registro roleSessionName saràECSServiceConnectForTLS. Se il ruolo viene utilizzato per creare gruppi target per VPC Lattice, il CloudTrail registro roleSessionName sarà. ECSNetworkingWithVPCLattice Se il ruolo viene utilizzato per gestire Amazon ECS Managed Instances, il CloudTrail log roleSessionName sarà. ECSManagedInstancesForCompute Puoi usare questo nome per cercare eventi nella CloudTrail console filtrando per nome utente.

Amazon ECS fornisce policy gestite che contengono le autorizzazioni necessarie per il collegamento del volume, TLS, VPC Lattice e le istanze gestite. Per ulteriori informazioni, consulta Amazon ECSInfrastructure RolePolicyForVolumes, Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity AmazonECSInfrastructureRolePolicyForVpcLattice, Amazon e Amazon ECSInfrastructure RolePolicyForManagedInstances nella AWS Managed Policy Reference Guide.

Creazione del ruolo dell'infrastruttura Amazon ECS

Sostituisci tutto user input con le tue informazioni.

  1. Crea un file denominato ecs-infrastructure-trust-policy.json contenente la policy di attendibilità da utilizzare per il ruolo IAM. Il file deve contenere il testo seguente:

    JSON
    {
  "Version":"2012-10-17",		 	 	  
  "Statement": [ 
    {
      "Sid": "AllowAccessToECSForInfrastructureManagement", 
      "Effect": "Allow", 
      "Principal": {
        "Service": "ecs.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

  2. Utilizzate il AWS CLI comando seguente per creare un ruolo denominato ecsInfrastructureRole utilizzando la politica di fiducia creata nel passaggio precedente.

    aws iam create-role \
      --role-name ecsInfrastructureRole \
      --assume-role-policy-document file://ecs-infrastructure-trust-policy.json

  3. A seconda del caso d'uso, allega la policy gestita al ecsInfrastructureRole ruolo.

    • Per allegare volumi Amazon EBS alle tue attività Fargate EC2 o digita Amazon ECS di avvio, AmazonECSInfrastructureRolePolicyForVolumes allega la policy gestita.

    • Per utilizzare Transport Layer Security (TLS) per crittografare il traffico tra i tuoi servizi Amazon ECS Service Connect, allega la AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity policy gestita.

    • Per creare gruppi target Amazon VPC Lattice, allega la AmazonECSInfrastructureRolePolicyForVpcLattice policy gestita.

    • Se desideri utilizzare Amazon ECS Managed Instances nei tuoi cluster Amazon ECS, allega la policy gestita. AmazonECSInfrastructureRolePolicyForManagedInstances

    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
    aws iam attach-role-policy \
      --role-name ecsInfrastructureRole \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForManagedInstances

Puoi inoltre usare il flusso di lavoro della policy di attendibilità della console IAM per creare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo utilizzando criteri di attendibilità personalizzati (console) nella Guida per l'utente di IAM.

Importante

Se il ruolo dell'infrastruttura viene usato da Amazon ECS per gestire i volumi Amazon EBS associati alle attività, assicurati di quanto segue prima di interrompere le attività che usano i volumi Amazon EBS.

  • Il ruolo non viene eliminato.

  • La policy di attendibilità per il ruolo non viene modificata per rimuovere l'accesso ad Amazon ECS (ecs.amazonaws.com).

  • La policy gestita da AmazonECSInfrastructureRolePolicyForVolumes non viene rimossa. Se devi modificare le autorizzazioni del ruolo, mantieni almeno ec2:DetachVolume,ec2:DeleteVolume e ec2:DescribeVolumes per l'eliminazione dei volumi.

L'eliminazione o la modifica del ruolo prima dell'interruzione delle attività con volumi Amazon EBS collegati comporterà il blocco delle attività in DEPROVISIONING e l'impossibilità di eliminare i volumi Amazon EBS associati. Amazon ECS riproverà automaticamente a intervalli regolari a interrompere l'attività e a eliminare il volume fino a quando non saranno ripristinate le autorizzazioni necessarie. Puoi visualizzare lo stato del volume allegato a un'attività e il motivo dello stato associato utilizzando l'API. DescribeTasks

Dopo aver creato il file, è necessario concedere all'utente l'autorizzazione a trasferire il ruolo ad Amazon ECS.

Autorizzazione a trasferire il ruolo dell'infrastruttura ad Amazon ECS

Per usare un ruolo IAM dell'infrastruttura ECS, devi concedere all'utente l'autorizzazione a trasferire il ruolo ad Amazon ECS. Allega la seguente autorizzazione all'utente iam:PassRole. Sostituiscilo ecsInfrastructureRole con il nome del ruolo di infrastruttura che hai creato.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}

Per ulteriori informazioni iam:Passrole e sull'aggiornamento delle autorizzazioni per il tuo utente, consulta Concessione a un utente delle autorizzazioni per passare un ruolo a un AWS servizio e Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente.AWS Identity and Access Management