Usar perfis para permitir que o Amazon ECS gerencie clusters - Amazon Elastic Container Service
Permissões de perfil vinculado ao serviço para o Amazon ECSCriar um perfil vinculado ao serviço para o Amazon ECSEditar um perfil vinculado ao serviço do Amazon ECSExcluir um perfil vinculado ao serviço do Amazon ECSRegiões com suporte para perfis vinculados ao serviço do Amazon ECS

Usar perfis para permitir que o Amazon ECS gerencie clusters

O Amazon Elastic Container Service usa os perfis vinculados ao serviço do AWS Identity and Access Management (IAM). O perfil vinculado ao serviço é um tipo especial de perfil do IAM vinculado diretamente ao Amazon ECS. Os perfis vinculados ao serviço são predefinidos pelo Amazon EMR e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Amazon ECS porque você não precisa adicionar as permissões necessárias manualmente. O Amazon ECS define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o Amazon ECS poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Amazon ECS porque você não pode remover por engano as permissões para acessar os recursos.

Para obter mais informações sobre outros serviços que são compatíveis com perfis vinculados ao serviço, consulte os Serviços da AWS compatíveis com o IAM e procure por serviços que indiquem Sim na coluna Perfis vinculados ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões de perfil vinculado ao serviço para o Amazon ECS

O Amazon ECS usa o perfil vinculado ao serviço denominado AWSServiceRoleForECS para permitir que o Amazon ECS gerencie o cluster.

O perfil vinculado ao serviço AWSServiceRoleForECS confia nos seguintes serviços para assumir o perfil:

  • ecs.amazonaws.com

A política de permissões do perfil chamada AmazonECSServiceRolePolicy permite que o Amazon ECS conclua as seguintes ações nos recursos especificados:

  • Ação: ao usar o modo de rede awsvpc em suas tarefas do Amazon ECS, o Amazon ECS gerenciará o ciclo de vida das interfaces de rede elásticas associadas à tarefa. Isso também inclui etiquetas que o Amazon ECS adiciona às interfaces de rede elásticas.

  • Ação: ao usar um balanceador de carga com o serviço do Amazon ECS, o Amazon ECS gerenciará o registro e o cancelamento do registro de recursos com o balanceador de carga.

  • Ação: ao usar a descoberta de serviços do Amazon ECS, o Amazon ECS gerenciará os recursos do Route 53 e do AWS Cloud Map necessários para que a descoberta de serviços funcione.

  • Ação: ao usar o serviço de escalabilidade automática do Amazon ECS, o Amazon ECS gerenciará os recursos do Auto Scaling necessários.

  • Ação: o Amazon ECS cria e gerencia alarmes e fluxos de logs do CloudWatch que auxiliam no monitoramento de recursos do Amazon ECS.

  • Ação: ao usar o Amazon ECS Exec, o Amazon ECS gerenciará as permissões necessárias para iniciar sessões do Amazon ECS Exec para as tarefas.

  • Ação: ao usar o Amazon ECS Service Connect, o Amazon ECS gerencia os recursos necessários do AWS Cloud Map para usar o recurso.

  • Ação: ao usar provedores de capacidade do Amazon ECS, o Amazon ECS gerenciará as permissões necessárias para modificar o grupo do Auto Scaling e suas instâncias do Amazon EC2.

  • Ação: o Amazon ECS pode atualizar atributos de serviço AWS Cloud Map para serviços gerenciados pelo Amazon ECS.

  • Ação: o Amazon ECS pode invocar a ENI de provisionamento e desprovisionamento do Amazon EC2 ao iniciar e interromper tarefas.

  • Ação: o Amazon ECS pode buscar as janelas de eventos do Amazon EC2 para serviços e clusters associados a janelas de eventos.

Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para ter mais informações, consulte Permissões de perfil vinculado a serviços no Guia do usuário do IAM.

Criar um perfil vinculado ao serviço para o Amazon ECS

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um cluster ou cria ou atualiza um serviço no Console de gerenciamento da AWS, na AWS CLI ou na AWS API, o Amazon ECS cria o perfil vinculado ao serviço para você.

Importante

Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Se você estava usando o serviço do Amazon ECS antes de 1.º de janeiro de 2017, quando ele começou a oferecer suporte a perfis vinculados ao serviço, o Amazon ECS criou o perfil AWSServiceRoleForECS na sua conta. Para saber mais, consulte Um novo perfil apareceu na minha Conta da AWS.

Também é possível usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso AWSServiceRoleForECS. Na AWS CLI ou na AWS API, use o IAM para criar um perfil vinculado ao serviço com o nome de serviço ecs.amazonaws.com. Para saber mais, consulte Criar um perfil vinculado a serviço no Guia do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um cluster, ou cria ou atualiza um serviço, o Amazon ECS cria o perfil vinculado ao serviço para você novamente.

Se você excluir esse perfil vinculado ao serviço, será possível usar esse mesmo processo do IAM para criar o perfil novamente.

Editar um perfil vinculado ao serviço do Amazon ECS

O Amazon ECS não permite que você edite o perfil AWSServiceRoleForECS vinculado ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir um perfil vinculado ao serviço do Amazon ECS

Não é necessário excluir manualmente o perfil AWSServiceRoleForECS. Quando você exclui clusters em todas as regiões no Console de gerenciamento da AWS, na AWS CLI ou na AWS API, o Amazon ECS limpa os recursos e exclui o perfil vinculado ao serviço para você.

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.

Limpar um perfil vinculado ao serviço

Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil.

nota

Se o serviço do Amazon ECS estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do Amazon ECS usados por AWSServiceRoleForECS (console)

  1. Dimensione todos os serviços do Amazon ECS até a contagem desejada de 0 em todas as regiões e, em seguida, exclua os serviços. Para obter mais informações, consulte Atualizar um serviço do Amazon ECS e Exclusão de um serviço do Amazon ECS usando o console.

  2. Force o cancelamento do registro de todas as instâncias de contêiner em todos os clusters de todas as regiões. Para obter mais informações, consulte Cancelamento do registro de uma instância de contêiner do Amazon ECS.

  3. Exclua todos os clusters do Amazon ECS em todas as regiões. Para obter mais informações, consulte Exclusão de um cluster do Amazon ECS.

Para excluir os recursos do Amazon ECS usados por AWSServiceRoleForECS (AWS CLI)

  1. Dimensione todos os serviços do Amazon ECS até a contagem desejada de 0 em todas as regiões e, em seguida, exclua os serviços. Para obter mais informações, consulte update-service e delete-service na Referência da AWS Command Line Interface.

  2. Force o cancelamento do registro de todas as instâncias de contêiner em todos os clusters de todas as regiões. Para obter mais informações, consulte deregister-container-instance.

  3. Exclua todos os clusters do Amazon ECS em todas as regiões. Para obter mais informações, consulte delete-cluster.

Para excluir os recursos do Amazon ECS usados por AWSServiceRoleForECS (API)

  1. Dimensione todos os serviços do Amazon ECS até a contagem desejada de 0 em todas as regiões e, em seguida, exclua os serviços. Para obter mais informações, consulte UpdateService e DeleteService na Referência de API do Amazon ECS.

  2. Force o cancelamento do registro de todas as instâncias de contêiner em todos os clusters de todas as regiões. Para obter mais informações, consulte DeregisterContainerInstance.

  3. Exclua todos os clusters do Amazon ECS em todas as regiões. Para obter mais informações, consulte DeleteCluster.

Excluir manualmente o perfil vinculado ao serviço

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForECS. Para saber mais, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte para perfis vinculados ao serviço do Amazon ECS

O Amazon ECS é compatível com perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.