Uso de roles para administrar Instancias administradas de Amazon ECS
Amazon Elastic Container Service utiliza roles vinculados al servicio de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon ECS. Los roles vinculados a servicios se encuentran predefinidos por Amazon ECS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado al servicio simplifica la configuración de Amazon ECS porque ya no tendrá que agregar manualmente los permisos requeridos. Amazon ECS define los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo Amazon ECS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon ECS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte Servicios de AWS que funcionan con IAM y busque aquellos para los que aparezca Sí en la columna Roles vinculados al servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Permisos de roles vinculados al servicio para Amazon ECS
Amazon ECS utiliza el rol vinculado al servicio denominado AWSServiceRoleForECSCompute: rol para permitir a Amazon ECS administrar Instancias administradas de Amazon EC2, aprovisionadas por el proveedor de capacidad de instancias administradas de Amazon ECS.
El rol vinculado al servicio AWSServiceRoleForECSCompute depende de los siguientes servicios para asumir el rol:
-
ecs-compute.amazonaws.com
La política de permisos del rol denominada AmazonECSComputeServiceRolePolicy permite que Amazon ECS complete las siguientes tareas:
-
Amazon ECS puede describir y eliminar plantillas de lanzamiento.
-
Amazon ECS puede describir y eliminar versiones de plantillas de lanzamiento.
-
Amazon ECS puede terminar instancias.
-
Amazon ECS puede describir los siguientes parámetros de datos de instancia:
-
instancia
-
Interfaces de red de instancias: Amazon ECS puede describir el permiso para administrar el ciclo de vida de las instancias de EC2.
-
Ventana de eventos de instancia: Amazon ECS puede describir la información de la ventana de eventos para determinar si se puede interrumpir el flujo de trabajo para aplicar parches a la instancia.
-
Estado de la instancia: Amazon ECS puede describir el estado de la instancia para supervisar su estado.
-
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado al servicio para Amazon ECS
No necesita crear manualmente un rol vinculado a servicios. Cuando crea un proveedor de capacidad para Instancias administradas de Amazon ECS en la Consola de administración de AWS, la AWS CLI, o la API de AWS, Amazon ECS crea el rol vinculado al servicio en su nombre.
importante
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Si utilizaba el servicio de Amazon ECS antes del 1 de enero de 2017, fecha en que comenzó a admitir los roles vinculados al servicio, Amazon ECS creó el rol AmazonECSComputeServiceRolePolicy en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi Cuenta de AWS.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un proveedor de capacidad para Instancias administradas de Amazon ECS, Amazon ECS vuelve a crear el rol vinculado al servicio en su nombre.
Si elimina este rol vinculado al servicio, puede utilizar el mismo proceso de IAM para volver a crear el rol.
Edición de un rol vinculado al servicio para Amazon ECS
Amazon WorkMail no le permite editar el rol vinculado al servicio AmazonECSComputeServiceRolePolicy. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado al servicio para Amazon ECS
No necesita eliminar manualmente el rol AmazonECSComputeServiceRolePolicy. Cuando elimina todos los proveedores de capacidad de instancias administradas de Amazon ECS en todas las regiones de la Consola de administración de AWS, la AWS CLI o la API de AWS, Amazon ECS limpia los recursos y elimina el rol vinculado al servicio automáticamente.
Eliminación manual de un rol vinculado a servicios
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AmazonECSComputeServiceRolePolicy. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados al servicio de Amazon ECS
Amazon ECS admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Puntos de conexión y Regiones de AWS.
