ロールを使用して Amazon ECS マネージドインスタンスを管理する - Amazon Elastic Container Service
Amazon ECS のサービスリンクロール許可Amazon ECS のサービスリンクロールの作成Amazon ECS のサービスリンクロールの編集Amazon ECS のサービスリンクロールの削除Amazon ECS サービスリンクロールがサポートされるリージョン

ロールを使用して Amazon ECS マネージドインスタンスを管理する

Amazon Elastic Container Service は、AWS Identity and Access Management (IAM) のサービスにリンクされたロールを使用します。サービスリンクロールは、Amazon ECS に直接リンクされた特殊なタイプの IAM ロールです。サービスにリンクされたロールは Amazon ECS で事前定義されています。このロールには、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要なアクセス許可がすべて付与されています。

サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がないため、Amazon ECS のセットアップが簡単になります。サービスリンクロールの許可は Amazon ECS が定義し、特に定義されない限り、Amazon ECS のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。こうすることで、不注意によりリソースにアクセスするための許可を削除することがなくなるため、Amazon ECS リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照し、サービスにリンクされたロール列内で [はい] と表記されたサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。

Amazon ECS のサービスリンクロール許可

Amazon ECS は、AWSServiceRoleForECSCompute という名前のサービスリンクロールを使用して、Amazon ECS マネージドインスタンスキャパシティプロバイダーがプロビジョニングした Amazon EC2 マネージドインスタンスを Amazon ECS で管理できるようにします。

AWSServiceRoleForECSCompute サービスリンクロールは、次のサービスを信頼してロールを引き受けます。

  • ecs-compute.amazonaws.com

AmazonECSComputeServiceRolePolicy という名前のロールのアクセス許可ポリシーは、Amazon ECS が次のアクションを完了することを許可します。

  • Amazon ECS が起動テンプレートを記述および削除する。

  • Amazon ECS が起動テンプレートのバージョンを記述および削除する。

  • Amazon ECS がインスタンスを終了する。

  • Amazon ECS では、次のインスタンスデータパラメータを記述できます。

    • インスタンス

    • インスタンスネットワークインターフェイス: Amazon ECS は、EC2 インスタンスのライフサイクルを管理するインターフェイスを記述できます。

    • インスタンスイベントウィンドウ: Amazon ECS は、インスタンスのパッチ適用を目的としたワークフロー中断の可否を決定するためのイベントウィンドウ情報を記述できます。

    • インスタンスステータス: Amazon ECS は、インスタンスの状態をモニタリングするためにインスタンスステータスを記述できます。

ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。

Amazon ECS のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソール、AWS CLI、AWS API で Amazon ECS マネージドインスタンスのキャパシティプロバイダーを作成すると、Amazon ECS がサービスにリンクされたロールを作成します。

重要

このサービスリンク役割はこの役割でサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。2017 年 1 月 1 日より前に Amazon ECS サービスを使用している場合、サービスにリンクされたロールのサポートが開始された時点で、Amazon ECS が AmazonECSComputeServiceRolePolicy ロールをアカウントに作成しています。詳細については、「AWS アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。Amazon ECS マネージドインスタンスのキャパシティプロバイダーを作成すると、Amazon ECS はサービスにリンクされたロールを再度作成します。

このサービスにリンクされたロールを削除する場合、この同じ IAM プロセスを使用して、もう一度ロールを作成できます。

Amazon ECS のサービスリンクロールの編集

Amazon Connect では、サービスにリンクされたロール AmazonECSComputeServiceRolePolicy を編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Amazon ECS のサービスリンクロールの削除

AmazonECSComputeServiceRolePolicy を手動で削除する必要はありません。AWS マネジメントコンソール、AWS CLI、AWS API の全リージョンの Amazon ECS マネージドインスタンスキャパシティプロバイダーを削除すると、Amazon ECS がリソースをクリーンアップし、サービスリンクロールを削除します。

サービスリンク役割の手動による削除

IAM コンソール、AWS CLI、AWS API を使用して、AmazonECSComputeServiceRolePolicy サービスリンクロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Amazon ECS サービスリンクロールがサポートされるリージョン

Amazon ECS は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。