Uso dei ruoli per consentire ad Amazon ECS di gestire i cluster - Amazon Elastic Container Service
Autorizzazioni del ruolo collegato ai servizi per Amazon ECSCreazione di un ruolo collegato ai servizi per Amazon ECSModifica di un ruolo collegato al servizio per Amazon ECSEliminazione di un ruolo collegato ai servizi per Amazon ECSRegioni supportate per i ruoli collegati ai servizi di Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Uso dei ruoli per consentire ad Amazon ECS di gestire i cluster

Amazon Elastic Container Service utilizza AWS Identity and Access Management ruoli collegati ai servizi (IAM). Un ruolo collegato ai servizi è un tipo di ruolo IAM univoco collegato direttamente ad Amazon ECS. I ruoli collegati ai servizi sono predefiniti da Amazon ECS e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.

Un ruolo collegato ai servizi semplifica la configurazione di Amazon ECS perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Amazon ECS definisce le autorizzazioni dei ruoli collegati ai servizi e, salvo diversamente definito, solo Amazon ECS può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di Amazon ECS perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i AWS servizi che funzionano con IAM e cerca i servizi con Sì nella colonna Ruoli collegati ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per Amazon ECS

Amazon ECS utilizza il ruolo collegato al servizio denominato AWSServiceRoleForECS — Role per consentire ad Amazon ECS di gestire il cluster.

Il ruolo collegato al servizio AWSService RoleFor ECS si affida ai seguenti servizi per assumere il ruolo:

  • ecs.amazonaws.com

La politica di autorizzazione dei ruoli denominata Amazon ECSService RolePolicy consente ad Amazon ECS di completare le seguenti azioni sulle risorse specificate:

  • Azione: quando utilizzi la modalità di rete awsvpc per le attività Amazon ECS, Amazon ECS gestisce il ciclo di vita delle interfacce di rete elastiche associate all'attività. Ciò include anche i tag che Amazon ECS aggiunge alle interfacce di rete elastiche.

  • Azione: quando si utilizza un bilanciatore del carico con il servizio Amazon ECS, Amazon ECS gestisce la registrazione e l'annullamento della registrazione delle risorse con il bilanciatore del carico.

  • Operazione: quando si utilizza Amazon ECS Service Discovery, Amazon ECS gestisce le risorse Route 53 e AWS Cloud Map richieste per far funzionare il rilevamento servizi.

  • Azione: quando si utilizza la scalabilità automatica del servizio Amazon ECS, Amazon ECS gestisce le risorse Amazon Auto Scaling EC2 richieste.

  • Azione: Amazon ECS crea e gestisce CloudWatch allarmi e flussi di log che aiutano nel monitoraggio delle tue risorse Amazon ECS.

  • Operazione: quando si utilizza Amazon ECS Exec, Amazon ECS gestisce le autorizzazioni necessarie per avviare le sessioni Amazon ECS Exec per le attività.

  • Operazione: quando si utilizza Amazon ECS Service Connect, Amazon ECS gestisce le risorse AWS Cloud Map richieste per utilizzare la funzionalità.

  • Azione: quando si utilizzano i provider di capacità Amazon ECS, Amazon ECS gestisce le autorizzazioni necessarie per modificare il gruppo Amazon EC2 Auto Scaling e le relative istanze Amazon. EC2

  • Azione: Amazon ECS può aggiornare gli attributi AWS Cloud Map del servizio per i servizi gestiti da Amazon ECS.

  • Azione: Amazon ECS può richiamare Amazon EC2 provisioning e de-provisioning ENI all'avvio e all'interruzione delle attività.

  • Azione: Amazon ECS può recuperare Amazon EC2 Event Windows per i servizi e i cluster associati a Event Windows.

Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l’utente di IAM.

Creazione di un ruolo collegato ai servizi per Amazon ECS

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un cluster o crei o aggiorni un servizio nella Console di gestione AWS, o nell' AWS API AWS CLI, Amazon ECS crea il ruolo collegato al servizio per te.

Importante

Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Se utilizzavi il servizio Amazon ECS prima del 1° gennaio 2017, quando ha iniziato a supportare ruoli collegati al servizio, Amazon ECS ha creato il ruolo ECS nel tuo AWSService RoleFor account. Per ulteriori informazioni, consulta A new role appeared in my. Account AWS

Puoi anche utilizzare la console IAM per creare un ruolo collegato al servizio con lo use case AWSServiceRoleForECS. Nell'API AWS CLI o nell' AWS API, usa IAM per creare un ruolo collegato al servizio con il nome del servizio. ecs.amazonaws.com Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente di IAM. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.

Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei un cluster oppure quando crei o aggiorni un servizio, Amazon ECS crea il ruolo collegato al servizio per tuo conto.

Se elimini questo ruolo collegato al servizio, puoi utilizzare lo stesso processo IAM per crearlo nuovamente.

Modifica di un ruolo collegato al servizio per Amazon ECS

Amazon ECS non consente di modificare il ruolo collegato al servizio AWSService RoleFor ECS. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Amazon ECS

Non è necessario eliminare manualmente il ruolo ECS. AWSService RoleFor Quando elimini i cluster in tutte le regioni dell'API Console di gestione AWS, dell'o dell' AWS API AWS CLI, Amazon ECS pulisce le risorse ed elimina il ruolo collegato al servizio per te.

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

Pulizia di un ruolo collegato ai servizi

Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo.

Nota

Se il servizio Amazon ECS utilizza tale ruolo quando provi a eliminare le risorse, è possibile che l'eliminazione non riesca. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare le risorse Amazon ECS utilizzate da AWSService RoleFor ECS (console)

  1. Dimensione a 0 il conteggio di tutti i servizi Amazon ECS in tutte le regioni, quindi elimina i servizi. Per ulteriori informazioni, consultare Aggiornamento di un servizio Amazon ECS e Eliminazione di un servizio Amazon ECS utilizzando la console.

  2. Forza l'annullamento della registrazione di tutte le istanze di container da tutti i cluster in tutte le regioni. Per ulteriori informazioni, consulta Annullamento della registrazione di un'istanza di container Amazon ECS.

  3. Elimina tutti i cluster Amazon ECS in tutte le regioni. Per ulteriori informazioni, consulta Eliminare un cluster Amazon ECS.

Per eliminare le risorse Amazon ECS utilizzate da AWSService RoleFor ECS (AWS CLI)

  1. Dimensione a 0 il conteggio di tutti i servizi Amazon ECS in tutte le regioni, quindi elimina i servizi. Per ulteriori informazioni, consulta update-service e delete-service nel Reference. AWS Command Line Interface

  2. Forza l'annullamento della registrazione di tutte le istanze di container da tutti i cluster in tutte le regioni. Per ulteriori informazioni, consulta deregister-container-instance.

  3. Elimina tutti i cluster Amazon ECS in tutte le regioni. Per ulteriori informazioni, consulta delete-cluster.

Per eliminare le risorse Amazon ECS utilizzate dall' AWSServiceRoleForECS (API)

  1. Dimensione a 0 il conteggio di tutti i servizi Amazon ECS in tutte le regioni, quindi elimina i servizi. Per ulteriori informazioni, consulta UpdateServicee DeleteServiceconsulta Amazon ECS API Reference.

  2. Forza l'annullamento della registrazione di tutte le istanze di container da tutti i cluster in tutte le regioni. Per ulteriori informazioni, consulta DeregisterContainerInstance.

  3. Elimina tutti i cluster Amazon ECS in tutte le regioni. Per ulteriori informazioni, consulta DeleteCluster.

Eliminazione manuale del ruolo collegato ai servizi

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio AWSService RoleFor ECS. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato al servizio nella Guida per l'utente di IAM.

Regioni supportate per i ruoli collegati ai servizi di Amazon ECS

Amazon ECS supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta Regioni ed endpoint di AWS.