Amazon ECS マネージドインスタンスのインスタンスプロファイル
インスタンスプロファイルは、1 つの IAM ロールのみを保持し、Amazon ECS マネージドインスタンスがそのロールを安全に引き受けることを許可する IAM コンテナです。インスタンスプロファイルには、クラスターにインスタンスを登録し、ECS サービスと通信するために ECS エージェントが引き受けるインスタンスロールが含まれています。
重要
AWS マネージドインフラストラクチャポリシーで Amazon ECS マネージドインスタンスを使用している場合、インスタンスプロファイルには ecsInstanceRole という名前を付ける必要があります。インフラストラクチャロールにカスタムポリシーを使用している場合、インスタンスプロファイルに代替名を付けることができます。
信頼ポリシーでロールを作成する
すべての [ユーザー入力] は、お客様の情報で置き換えてください。
-
IAM ロールに使用する信頼ポリシーが含まれている
ecsInstanceRole-trust-policy.jsonという名前のファイルを作成します。ファイルには次の内容が含まれます。 -
前のステップで作成した信頼ポリシーを使用して、
ecsInstanceRoleという名前のロールを作成するには、次の AWS CLI コマンドを使用します。aws iam create-role \ --role-name ecsInstanceRole \ --assume-role-policy-document file://ecsInstanceRole-trust-policy.json -
AWS 管理ポリシー
AmazonECSInstanceRolePolicyForManagedInstancesをecsInstanceRoleロールにアタッチします。aws iam attach-role-policy \ --role-name ecsInstanceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonECSInstanceRolePolicyForManagedInstances注記
その代わりにアクセスの最小特権を適用し、独自のアクセス許可を指定する場合は、次のアクセス権限を追加して、Amazon ECS マネージドインスタンスのタスク関連の問題のトラブルシューティングに役立てることができます。
ecs:StartTelemetrySessionecs:PutSystemLogEvents
IAM コンソールの[カスタム信頼ポリシー]ワークフローを使用してロールを作成することもできます。詳細については、「IAM ユーザーガイド」の「カスタム信頼ポリシーを使用してロールを作成する (コンソール)」を参照してください。
ファイルを作成したら、Amazon ECS にロールを渡すためのアクセス許可をユーザーに付与する必要があります。
AWS CLI を使用してインスタンスプロファイルを作成する
ロールを作成したら、AWS CLI を使用してインスタンスプロファイルを作成します。
aws iam create-instance-profile --instance-profile-name ecsInstanceRole
次のように、インスタンスプロファイルにロールを追加します。
aws iam add-role-to-instance-profile \ --instance-profile-name ecsInstanceRole \ --role-name ecsInstanceRole
プロファイルが正常に作成されたことを確認します。
aws iam get-instance-profile --instance-profile-name ecsInstanceRole
