Amazon Elastic Container Service
开发人员指南 (API 版本 2014-11-13)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

Amazon ECS 服务计划程序 IAM 角色

Amazon ECS 服务计划程序将代表您调用 Amazon EC2 和 Elastic Load Balancing API,以在负载均衡器中注册和取消注册容器实例。您必须在启动服务前为其创建一个 IAM 角色,然后才能将负载均衡器附加到 Amazon ECS 服务。此要求适用于您计划用于负载均衡器的任意 Amazon ECS 服务。

大多数情况下,在控制台首次运行体验中将自动为您创建 Amazon ECS 服务角色。您可使用以下过程来检查您的账户是否已具有 Amazon ECS 服务角色。

AmazonEC2ContainerServiceRole 策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:Describe*", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DeregisterTargets", "elasticloadbalancing:Describe*", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets" ], "Resource": "*" } ] }

注意

ec2:AuthorizeSecurityGroupIngress 规则保留以后使用。Amazon ECS 不会自动更新与 Elastic Load Balancing 负载均衡器或 Amazon ECS 容器实例关联的安全组。

在 IAM 控制台中检查 ecsServiceRole

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Roles

  3. 在角色列表中搜索 ecsServiceRole。如果该角色不存在,请使用以下过程创建该角色。如果角色存在,请选择角色以查看附加的策略。

  4. 选择 Permissions 选项卡。

  5. Managed Policies 部分,确保将 AmazonEC2ContainerServiceRole 托管策略附加到角色。如果附加该策略,则将正确配置 Amazon ECS 服务角色。否则,请执行以下子步骤来附加策略。

    1. 选择 Attach Policy

    2. 要缩小要附加的可用策略的范围,请为筛选条件键入 AmazonEC2ContainerServiceRole

    3. 选中 AmazonEC2ContainerServiceRole 策略左侧的框并选择 Attach Policy

  6. 选择信任关系,然后选择编辑信任关系

  7. 验证信任关系是否包含以下策略。如果信任关系符合以下策略,请选择 Cancel。如果信任关系不符合,请将策略复制到 Policy Document 窗口中并选择 Update Trust Policy

    { "Version": "2008-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

为您的服务计划程序负载均衡器创建 IAM 角色

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 RolesCreate role

  3. 选择受信任实体的类型部分,选择 Elastic Container Service

  4. 选择您的使用案例部分中,选择 Elastic Container Service,然后选择下一步: 权限

  5. 附加的权限策略部分中,选择 AmazonEC2ContainerServiceRole 策略,然后选择下一步: 审核

  6. 对于角色名称,键入 ecsServiceRole,输入角色描述,然后选择创建角色