Usar perfis para gerenciar instâncias gerenciadas do Amazon ECS - Amazon Elastic Container Service
Permissões de perfil vinculado ao serviço para o Amazon ECSCriar um perfil vinculado ao serviço para o Amazon ECSEditar um perfil vinculado ao serviço do Amazon ECSExcluir um perfil vinculado ao serviço do Amazon ECSRegiões com suporte para perfis vinculados ao serviço do Amazon ECS

Usar perfis para gerenciar instâncias gerenciadas do Amazon ECS

O Amazon Elastic Container Service usa os perfis vinculados ao serviço do AWS Identity and Access Management (IAM). O perfil vinculado ao serviço é um tipo especial de perfil do IAM vinculado diretamente ao Amazon ECS. Os perfis vinculados ao serviço são predefinidos pelo Amazon EMR e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Amazon ECS porque você não precisa adicionar as permissões necessárias manualmente. O Amazon ECS define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o Amazon ECS poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Amazon ECS porque você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços que aceitam perfis vinculados, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Perfis vinculados ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões de perfil vinculado ao serviço para o Amazon ECS

O Amazon ECS usa o perfil vinculado ao serviço chamado AWSServiceRoleForECSCompute para permitir que o Amazon ECS gerencie instâncias gerenciadas do Amazon EC2, provisionadas pelo provedor de capacidade de instâncias gerenciadas do Amazon ECS.

O perfil vinculado ao serviço AWSServiceRoleForECSCompute confia nos seguintes serviços para assumir o perfil:

  • ecs-compute.amazonaws.com

A política de permissões de perfil chamada AmazonECSComputeServiceRolePolicy permite que o Amazon ECS conclua as seguintes tarefas:

  • O Amazon ECS pode descrever e excluir modelos de inicialização.

  • O Amazon ECS pode descrever e excluir versões de modelos de inicialização.

  • O Amazon ECS pode encerrar instâncias.

  • O Amazon ECS pode descrever os seguintes parâmetros de dados da instância:

    • Instância

    • Interfaces de rede de instâncias: o Amazon ECS pode descrever o que é necessário para gerenciar o ciclo de vida da instância do EC2.

    • Janela de evento da instância: o Amazon ECS pode descrever as informações da janela de evento para determinar se o fluxo de trabalho pode ser interrompido para aplicar patch na instância.

    • Status da instância: o Amazon ECS pode descrever o status da instância para monitorar sua integridade.

Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte Service-linked role permissions (Permissões de nível vinculado a serviços) no Guia do usuário do IAM.

Criar um perfil vinculado ao serviço para o Amazon ECS

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um provedor de capacidade para instâncias gerenciadas do Amazon ECS no Console de gerenciamento da AWS, na AWS CLI ou na AWS API, o Amazon ECS cria o perfil vinculado ao serviço para você.

Importante

Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Se você estava usando o serviço do Amazon ECS antes de 1.º de janeiro de 2017, quando ele começou a oferecer suporte a perfis vinculados ao serviço, o Amazon ECS criou o perfil AmazonECSComputeServiceRolePolicy na sua conta. Para saber mais, consulte Um novo perfil apareceu na minha Conta da AWS.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um provedor de capacidade para instâncias gerenciadas do Amazon ECS, o perfil vinculado ao serviço é criado para você pelo Amazon ECS.

Se você excluir esse perfil vinculado ao serviço, será possível usar esse mesmo processo do IAM para criar o perfil novamente.

Editar um perfil vinculado ao serviço do Amazon ECS

O Amazon ECS não permite que você edite o perfil vinculado ao serviço AmazonECSComputeServiceRolePolicy. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir um perfil vinculado ao serviço do Amazon ECS

Você não precisa excluir manualmente o perfil AmazonECSComputeServiceRolePolicy. Ao excluir todos os provedores de capacidade para instâncias gerenciadas do Amazon ECS em todas as regiões no Console de gerenciamento da AWS, na AWS CLI ou na AWS API, o Amazon ECS limpa os recursos e exclui o perfil vinculado ao serviço para você.

Excluir manualmente o perfil vinculado ao serviço

Use o console do IAM, a AWS CLI ou a AWS API para excluir o perfil vinculado ao serviço AmazonECSComputeServiceRolePolicy. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte para perfis vinculados ao serviço do Amazon ECS

O Amazon ECS é compatível com perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.