Amazon EC2 Container Service
开发人员指南 (API Version 2014-11-13)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

Amazon ECS 服务计划程序 IAM 角色

Amazon ECS 服务计划程序将代表您调用 Amazon EC2 和 Elastic Load Balancing API,以在您的负载均衡器中注册和取消注册容器实例。您必须在启动您的服务前先为其创建一个 IAM 角色,然后才能将负载均衡器附加到 Amazon ECS 服务。此要求适用于您计划用于负载均衡器的任意 Amazon ECS 服务。

大多数情况下,在控制台首次运行体验中将自动为您创建 Amazon ECS 服务角色。您可使用以下过程来检查您的账户是否已具有 Amazon ECS 服务角色。

AmazonEC2ContainerServiceRole 策略如下所示。

Copy
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:Describe*", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DeregisterTargets", "elasticloadbalancing:Describe*", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets" ], "Resource": "*" } ] }

注意

将保留 ec2:AuthorizeSecurityGroupIngress 规则以供将来使用。Amazon ECS 不会自动更新与 Elastic Load Balancing 负载均衡器或 Amazon ECS 容器实例关联的安全组。

在 IAM 控制台中检查 ecsServiceRole

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Roles

  3. 在角色列表中搜索 ecsServiceRole。如果该角色不存在,请使用以下过程创建该角色。如果角色存在,请选择角色以查看附加的策略。

  4. 选择 Permissions 选项卡。

  5. Managed Policies 部分,确保将 AmazonEC2ContainerServiceRole 托管策略附加到角色。如果附加该策略,则将正确配置 Amazon ECS 服务角色。否则,请执行以下子步骤来附加策略。

    1. 选择 Attach Policy

    2. Filter 框中,键入 AmazonEC2ContainerServiceRole 以缩小要附加的可用策略的范围。

    3. 选中 AmazonEC2ContainerServiceRole 策略左侧的框并选择 Attach Policy

  6. 选择 Trust Relationships 选项卡,然后选择 Edit Trust Relationship

  7. 验证信任关系是否包含以下策略。如果信任关系符合以下策略,请选择 Cancel。如果信任关系不符合,请将策略复制到 Policy Document 窗口中并选择 Update Trust Policy

    Copy
    { "Version": "2008-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

为您的服务计划程序负载均衡器创建 IAM 角色

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Roles,然后选择 Create New Role

  3. Role Name 字段中,键入 ecsServiceRole 以命名角色,然后选择 Next Step

  4. Select Role Type 部分中,向下滚动并选择 Amazon EC2 Container Service Role 服务角色旁边的 Select

  5. Attach Policy 部分中,选择 AmazonEC2ContainerServiceRole 策略,然后选择 Next Step

  6. 检查您的角色信息,然后选择 Create Role 以完成操作。