Uso de roles para permitir que Amazon ECS administre los clústeres - Amazon Elastic Container Service
Permisos de roles vinculados al servicio para Amazon ECSCreación de un rol vinculado al servicio para Amazon ECSEdición de un rol vinculado al servicio para Amazon ECSEliminación de un rol vinculado al servicio para Amazon ECSRegiones admitidas para los roles vinculados al servicio de Amazon ECS

Uso de roles para permitir que Amazon ECS administre los clústeres

Amazon Elastic Container Service utiliza roles vinculados al servicio de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon ECS. Los roles vinculados a servicios se encuentran predefinidos por Amazon ECS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado al servicio simplifica la configuración de Amazon ECS porque ya no tendrá que agregar manualmente los permisos requeridos. Amazon ECS define los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo Amazon ECS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon ECS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte Servicios de AWS que funcionan con IAM y busque aquellos para los que aparezca en la columna Roles vinculados al servicio. Elija una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados al servicio para Amazon ECS

Amazon ECS utiliza el rol vinculado al servicio con el nombre AWSServiceRoleForECS: rol para permitir que Amazon ECS administre el clúster.

El rol vinculado al servicio AWSServiceRoleForECS depende de los siguientes servicios para asumir el rol:

  • ecs.amazonaws.com

La política de permisos de rol denominada AmazonECSServiceRolePolicy permite a Amazon ECS llevar a cabo las siguientes acciones en los recursos especificados:

  • Acción: al utilizar el modo de red awsvpc para las tareas de Amazon ECS, este administra el ciclo de vida de las interfaces de red elásticas asociadas a la tarea. Esto también incluye las etiquetas que Amazon ECS agrega a sus interfaces de red elástica.

  • Acción: al utilizar un equilibrador de carga con su servicio de Amazon ECS, este administra el registro y la anulación del registro de los recursos con el equilibrador de carga.

  • Acción: al utilizar la detección de servicios de Amazon ECS, este administra los recursos de AWS Cloud Map y Route 53 necesarios para que la detección de servicios funcione.

  • Acción: al utilizar el escalado automático de servicios de Amazon ECS, este servicio administra los recursos de Amazon EC2 Auto Scaling necesarios.

  • Acción: Amazon ECS crea y administra alarmas y flujos de registro de CloudWatch que ayudan a la supervisión de sus recursos de Amazon ECS.

  • Acción: al utilizar Amazon ECS Exec, Amazon ECS administra los permisos necesarios para iniciar sesiones de Amazon ECS Exec en sus tareas.

  • Acción: al utilizar Amazon ECS Service Connect, Amazon ECS administra los recursos de AWS Cloud Map necesarios para utilizar la función.

  • Acción: al utilizar proveedores de capacidad de Amazon ECS, este servicio administra los permisos necesarios para modificar el grupo de Amazon EC2 Auto Scaling y sus instancias de Amazon EC2.

  • Acción: Amazon ECS puede actualizar los atributos de los servicios de AWS Cloud Map que administra Amazon ECS.

  • Acción: Amazon ECS puede invocar el ENI de aprovisionamiento y desaprovisionamiento de Amazon EC2 al iniciar y detener tareas.

  • Acción: Amazon ECS puede recuperar ventanas de eventos de Amazon EC2 para los servicios y clústeres asociados a ventanas de eventos.

Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado al servicio para Amazon ECS

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un clúster o crea o actualiza un servicio en la Consola de administración de AWS, la AWS CLI, o la API de AWS, Amazon ECS crea el rol vinculado al servicio.

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Si utilizaba el servicio de Amazon ECS antes del 1 de enero de 2017, fecha en que comenzó a admitir los roles vinculados al servicio, Amazon ECS creó el rol AWSServiceRoleForECS en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi Cuenta de AWS.

También puede usar la consola de IAM para crear un rol vinculado al servicio con el caso de uso AWSServiceRoleForECS. En la AWS CLI o la API de AWS, utilice IAM para crear un rol vinculado al servicio con el nombre de servicio ecs.amazonaws.com. Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un clúster o crea o actualiza un servicio, Amazon ECS vuelve a crear el rol vinculado al servicio.

Si elimina este rol vinculado al servicio, puede utilizar el mismo proceso de IAM para volver a crear el rol.

Edición de un rol vinculado al servicio para Amazon ECS

Amazon ECS no permite editar el rol vinculado al servicio AWSServiceRoleForECS. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado al servicio para Amazon ECS

No es necesario eliminar de forma manual el rol AWSServiceRoleForECS. Cuando elimina clústeres en todas las regiones de la Consola de administración de AWS, la AWS CLI o la API de AWS, Amazon ECS limpia los recursos y elimina el rol vinculado al servicio automáticamente.

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.

Limpiar un rol vinculado a servicios

Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol.

nota

Si el servicio de Amazon ECS utiliza el rol al intentar eliminar los recursos, se podría producir un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

Eliminación de los recursos de Amazon ECS utilizados por AWSServiceRoleForECS (consola)

  1. Reduzca los servicios de Amazon ECS hasta el recuento deseado de 0 en todas las regiones y, a continuación, elimine los servicios. Para obtener más información, consulte Actualización de un servicio de Amazon ECS y Eliminación de un servicio de Amazon ECS mediante la consola.

  2. Fuerce la cancelación del registro de todas las instancias de contenedor de todos los clústeres de todas las regiones. Para obtener más información, consulte Anulación del registro de una instancia de contenedor de Amazon ECS.

  3. Elimine todos los clústeres de Amazon ECS de todas las regiones. Para obtener más información, consulte Eliminación de un clúster de Amazon ECS.

Eliminación de recursos de Amazon ECS utilizados por AWSServiceRoleForECS (AWS CLI)

  1. Reduzca los servicios de Amazon ECS hasta el recuento deseado de 0 en todas las regiones y, a continuación, elimine los servicios. Para obtener más información, consulte update-service y delete-service en la referencia de AWS Command Line Interface.

  2. Fuerce la cancelación del registro de todas las instancias de contenedor de todos los clústeres de todas las regiones. Para obtener más información, consulte deregister-container-instance.

  3. Elimine todos los clústeres de Amazon ECS de todas las regiones. Para obtener más información, consulte delete-cluster.

Eliminación de recursos de Amazon ECS utilizados por AWSServiceRoleForECS (API)

  1. Reduzca los servicios de Amazon ECS hasta el recuento deseado de 0 en todas las regiones y, a continuación, elimine los servicios. Para obtener más información, consulte UpdateService y DeleteService en la Referencia de la API de Amazon ECS.

  2. Fuerce la cancelación del registro de todas las instancias de contenedor de todos los clústeres de todas las regiones. Para obtener más información, consulte DeregisterContainerInstance.

  3. Elimine todos los clústeres de Amazon ECS de todas las regiones. Para obtener más información, consulte DeleteCluster.

Eliminación manual de un rol vinculado a servicios

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForECS. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Amazon ECS

Amazon ECS admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Puntos de conexión y Regiones de AWS.