Amazon ECS 的 IAM 角色 - Amazon Elastic Container Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon ECS 的 IAM 角色

IAM 角色是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。在 Amazon ECS 中,您可以建立角色,將許可授予 Amazon ECS 資源,例如容器或服務。

Amazon ECS 所需的角色取決於任務定義啟動類型和您使用的功能。使用下表來判斷您需要哪些 Amazon ECS 的 IAM 角色。

角色 定義 需要時 其他資訊
任務執行角色 此角色允許 Amazon ECS 代表您使用其他 AWS 服務。

您的任務託管在 AWS Fargate外部執行個體上或外部執行個體上,並且:

  • 從 Amazon ECR 私有儲存庫提取容器映像。

  • 從執行任務之帳戶的不同帳戶中的 Amazon ECR 私有儲存庫提取容器映像。

  • 使用 awslogs 日誌驅動程式將容器日誌傳送到 CloudWatch Logs。

您的任務託管在 AWS Fargate 或 Amazon EC2 執行個體上,並且:

  • 使用私有登錄檔身分驗證。

  • 使用執行期監控。

  • 任務定義會使用 Secrets Manager 秘密或 AWS Systems Manager 參數存放區參數來參考敏感資料。

 Amazon ECS 任務執行 IAM 角色
任務角色 此角色可讓您的應用程式程式碼 (在容器上) 使用其他 AWS 服務。 您的應用程式會存取其他 AWS 服務,例如 Amazon S3。 Amazon ECS 任務 IAM 角色
容器執行個體角色 此角色可讓您的 EC2 執行個體或外部執行個體向叢集註冊。 您的任務託管在 Amazon EC2 執行個體或外部執行個體上。 Amazon ECS 容器執行個體 IAM 角色
Amazon ECS Anywhere 角色 此角色可讓您的外部執行個體存取 AWS APIs。 您的任務託管在外部執行個體上。 Amazon ECS Anywhere IAM 角色
Amazon ECS CodeDeploy 角色 此角色允許 CodeDeploy 更新 服務。 您可以使用 CodeDeploy 藍/綠部署類型來部署 服務。 Amazon ECS CodeDeploy IAM 角色
Amazon ECS EventBridge 角色 此角色可讓 EventBridge 更新 服務。 您可以使用 EventBridge 規則和目標來排程任務。 Amazon ECS EventBridge IAM 角色
Amazon ECS 基礎設施角色 此角色允許 Amazon ECS 管理叢集中的基礎設施資源。

  • 您想要將 Amazon EBS 磁碟區連接至 Fargate 或 EC2 啟動類型 Amazon ECS 任務。基礎設施角色允許 Amazon ECS 為您的任務管理 Amazon EBS 磁碟區。

  • 您想要使用 Transport Layer Security (TLS) 來加密 Amazon ECS Service Connect 服務之間的流量。

  • 您想要建立 VPC Lattice 目標群組。

 Amazon ECS 基礎設施 IAM 角色