Profil d’instance des instances gérées Amazon ECS - Amazon Elastic Container Service
Création d’un rôle avec la stratégie d’approbationCréez le profil d'instance à l'aide du AWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Profil d’instance des instances gérées Amazon ECS

Un profil d’instance est un conteneur IAM qui contient exactement un rôle IAM et permet aux instances gérées Amazon ECS d’assumer ce rôle en toute sécurité. Le profil d’instance contient un rôle d’instance que l’agent ECS assume pour enregistrer les instances auprès des clusters et communiquer avec le service ECS.

Important

Si vous utilisez des instances gérées Amazon ECS avec la politique d'infrastructure AWS-managed, le profil d'instance doit être nomméecsInstanceRole. Si vous utilisez une politique personnalisée pour le rôle Infrastructure, le profil d’instance peut avoir un autre nom.

Création d’un rôle avec la stratégie d’approbation

Remplacez tout user input par vos propres informations.

  1. Créez un fichier nommé ecsInstanceRole-trust-policy.json contenant la stratégie d'approbation à utiliser pour le rôle IAM. Le fichier doit contenir ce qui suit :

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": { "Service": "ec2.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Utilisez la AWS CLI commande suivante pour créer un rôle nommé ecsInstanceRole en utilisant la politique de confiance que vous avez créée à l'étape précédente.

    aws iam create-role \
      --role-name ecsInstanceRole \
      --assume-role-policy-document file://ecsInstanceRole-trust-policy.json

  3. Associez la AmazonECSInstanceRolePolicyForManagedInstances politique AWS gérée au ecsInstanceRole rôle.

    aws iam attach-role-policy \
      --role-name ecsInstanceRole \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInstanceRolePolicyForManagedInstances
    Note

    Si vous choisissez d'appliquer des autorisations de moindre privilège et de spécifier les vôtres à la place, vous pouvez ajouter les autorisations suivantes pour aider à résoudre les problèmes liés aux tâches avec les instances gérées Amazon ECS :

    • ecs:StartTelemetrySession

    • ecs:PutSystemLogEvents

Vous pouvez également utiliser le flux de travail Stratégie d’approbation personnalisée de la console IAM pour créer le rôle. Pour plus d’informations, reportez-vous à la section Création d’un rôle à l’aide de politiques de confiance personnalisées (console) dans le Guide de l’utilisateur IAM.

Une fois le fichier créé, vous devez autoriser votre utilisateur à transmettre le rôle à Amazon ECS.

Créez le profil d'instance à l'aide du AWS CLI

Après avoir créé le rôle, créez le profil d’instance à l’aide de l’ AWS CLI :

aws iam create-instance-profile --instance-profile-name ecsInstanceRole

Ajoutez le rôle au profil d’instance :

aws iam add-role-to-instance-profile \
   --instance-profile-name ecsInstanceRole \
   --role-name ecsInstanceRole

Vérifiez que le profil a été créé avec succès :

aws iam get-instance-profile --instance-profile-name ecsInstanceRole