任务 IAM 角色 - Amazon Elastic Container Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

任务 IAM 角色

您的 Amazon ECS 任务可以具有与其关联的 IAM 角色。在 IAM 角色中被授予的权限由任务中运行的容器承担。有关 Amazon ECS 提取容器映像和运行任务所需的 IAM 权限,请参阅 Amazon ECS 任务执行 IAM 角色

如果您的容器化应用程序需要调用 Amazon API,则它们必须使用 Amazon 证书签署自己的 Amazon API 请求,而任务 IAM 角色提供了一种管理证书供您的应用程序使用的策略,类似于 Amazon EC2 实例配置文件向 Amazon EC2 实例提供凭证的方式。您可以将 IAM 角色与 Amazon ECS 任务定义或 RunTask API 操作关联,而不是为容器创建和分配 Amazon 凭证或使用 Amazon EC2 实例的角色。然后,您的容器可以使用 Amazon 软件开发工具包或 Amazon CLI 向授权 Amazon 服务发出 API 请求。

下面介绍了在任务中使用 IAM 角色的好处。

  • 凭证隔离:容器只能检索其所属的任务定义中定义的 IAM 角色的凭证;容器永远无法访问用于属于另一个任务的其他容器的凭证。

  • 授权:未经授权的容器无法访问为其他任务定义的 IAM 角色凭证。

  • 可审计性:可通过访问和事件日志记录 CloudTrail 来确保追溯性审计。任务凭证的taskArn上下文已附加到会话,因此 CloudTrail 日志会显示哪个任务正在使用哪个角色。

注意

当您为任务指定 IAM 角色时,该任务容器中的软件开发工具包 Amazon CLI 或其他软件开发工具包仅使用该任务角色提供的 Amazon 证书,并且它们不再从正在运行的 Amazon EC2 或外部实例继承任何 IAM 权限。

您可以在任务定义中定义任务 IAM 角色,也可以在通过 RunTask API 操作手动运行任务时使用 taskRoleArn 覆盖。Amazon ECS 代理接收启动具有包含角色凭证的其他字段的任务的负载消息。Amazon ECS 代理将唯一的任务凭证 ID 设置为标识令牌并更新其内部凭证缓存,以便任务的标识令牌指向负载中接收的角色凭证。Amazon ECS 代理使用以下相关 URI 为属于此任务的所有容器填写 Env 对象(通过 docker inspect container_id 命令提供)中的 AWS_CONTAINER_CREDENTIALS_RELATIVE_URI 环境变量:/credential_provider_version/credentials?id=task_credential_id

从容器内部,您可以使用以下命令查询凭据端点:

curl 169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI

输出:

{ "AccessKeyId": "ACCESS_KEY_ID", "Expiration": "EXPIRATION_DATE", "RoleArn": "TASK_ROLE_ARN", "SecretAccessKey": "SECRET_ACCESS_KEY", "Token": "SECURITY_TOKEN_STRING" }

如果您的 Amazon EC2 实例使用的容器代理版本1.11.0至少为 Amazon CLI 或软件开发工具包的支持版本,则软件开发工具包客户端将看到该AWS_CONTAINER_CREDENTIALS_RELATIVE_URI变量可用,并将使用提供的凭证调用 Amazon API。有关更多信息,请参阅在 Amazon EC2 或外部实例上使用任务 IAM 角色

当使用凭证提供程序时,请求将本地记录在以下位置的主机容器实例中:/var/log/ecs/audit.log.YYYY-MM-DD-HH。有关更多信息,请参阅任务凭证审核日志的 IAM 角色

Amazon EC2 实例上托管的任务的注意事项

将 IAM 角色用于在 Amazon EC2 实例上运行的任务时,容器将无法访问通过 Amazon EC2 实例元数据服务器提供给 Amazon EC2 实例配置文件的凭证。建议您将容器实例角色中的权限限制在 AmazonEC2ContainerServiceforEC2Role 托管 IAM policy 中使用的最低权限列表的范围内。有关更多信息,请参阅Amazon ECS 容器实例 IAM 角色

为 Amazon EC2 实例上托管的任务使用任务 IAM 角色时,还应考虑以下因素。

  • 要防止使用 awsvpc 网络模式的任务运行的容器访问提供给 Amazon EC2 实例配置文件的凭证信息(同时仍允许任务角色提供的权限),请将代理配置文件中的 ECS_AWSVPC_BLOCK_IMDS 代理配置变量设置为 true,然后重新启动代理。有关更多信息,请参阅Amazon ECS 容器代理配置

  • 通过在 Amazon EC2 实例上运行以下 iptables 命令,阻止使用 bridge 网络模式的任务运行的容器访问提供给 Amazon EC2 实例配置文件的凭证信息,同时仍允许任务角色提供的权限。此命令不影响使用 hostawsvpc 网络模式的任务中的容器。有关更多信息,请参阅网络模式

    sudo yum install -y iptables-services; sudo iptables --insert DOCKER-USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP

    您必须将此 iptables 规则保存到 Amazon EC2 实例上,使其在重启后仍然可用。使用经 Amazon ECS 优化的 AMI,您可以使用以下命令。对于其他操作系统,请参阅该操作系统的相关文档。

    sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables

在 Amazon EC2 或外部实例上使用任务 IAM 角色

Amazon EC2 或外部实例需要至少为版本 1.11.0 的容器代理才能使用任务 IAM 角色;但建议使用最新的容器代理版本。有关检查您的代理版本并更新到最新版本的信息,请参阅更新 Amazon ECS 容器代理。如果您正在使用经 Amazon ECS 优化的 AMI,您的实例将需要至少为 1.11.0-1 版的 ecs-init 程序包。如果您的实例使用最新的经 Amazon ECS 优化的 AMI,则这些实例将包含所需版本的容器代理和 ecs-init。有关更多信息,请参阅经 Amazon ECS 优化的 AMI

如果对容器实例使用的不是经 Amazon ECS 优化的 AMI,请务必将 --net=host 选项添加到docker run 命令,该命令会为所需配置启动代理和以下代理配置变量(有关更多信息,请参阅 Amazon ECS 容器代理配置):

ECS_ENABLE_TASK_IAM_ROLE=true

为具有 bridgedefault 网络模式的容器使用任务的 IAM 角色。

ECS_ENABLE_TASK_IAM_ROLE_NETWORK_HOST=true

为具有 host 网络模式的容器使用任务的 IAM 角色。此变量仅在代理版本 1.12.0 和更高版本上受支持。

有关示例运行命令,请参阅手动更新 Amazon ECS 容器代理(适用于非经 Amazon ECS 优化的 AMI)。您还需要在容器实例上设置以下联网命令,以便任务中的容器可以检索其 Amazon 证书:

sudo sysctl -w net.ipv4.conf.all.route_localnet=1 sudo iptables -t nat -A PREROUTING -p tcp -d 169.254.170.2 --dport 80 -j DNAT --to-destination 127.0.0.1:51679 sudo iptables -t nat -A OUTPUT -d 169.254.170.2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 51679

您必须将这些 iptables 规则保存到容器实例,使其在重启后仍然可用。您可以使用 iptables-saveiptables-restore 命令保存 iptables 规则并在启动时还原它们。有关更多信息,请查阅您的特定操作系统文档。

为任务创建 IAM 角色和策略

在创建供任务使用的 IAM policy 时,该策略应包括您希望任务中的容器承担的权限。您可以使用现有的 Amazon 托管策略,也可以从头开始创建满足您特定需求的自定义策略。有关更多信息,请参阅《IAM 用户指南》中的创建 IAM policy

重要

对于 Amazon ECS 任务(适用于所有启动类型),我们建议您为任务使用 IAM policy 和角色。这些凭证允许您的任务发出 Amazon API 请求,而无需调用sts:AssumeRole代入已与任务关联的相同角色。如果您的任务需要能代入自己的角色,则必须创建明确允许该角色代入自己的信任策略。有关更多信息,请参阅《IAM 用户指南》中修改角色信任策略

创建 IAM policy 后,您可以创建 IAM 角色,其中包括您在 Amazon ECS 任务定义中引用的策略。您可以在 IAM 控制台中使用 Elastic Container Service 任务使用案例创建该角色。然后,您可以将您的特定 IAM 策略附加到向任务中的容器提供所需权限的角色。以下过程说明如何执行此操作。

如果您有多个需要 IAM 权限的任务定义或服务,则应考虑为每个特定的任务定义或服务创建一个具有所需最低权限的角色以便任务进行操作,以便您能够将为每个任务提供的访问权限降到最低。

有关您所在区域的服务端点的信息,请参阅《Amazon Web Services 一般参考 参考指南》中的服务端点

IAM 任务角色必须具有指定 ecs-tasks.amazonaws.com 服务的信任策略。sts:AssumeRole 权限允许您的任务承担与 Amazon EC2 实例使用的不同的 IAM 角色。这样,您的任务不会继承与 Amazon EC2 实例关联的角色。以下是信任策略的示例。替换区域标识符并指定启动任务时使用的 Amazon 账号。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":[ "ecs-tasks.amazonaws.com" ] }, "Action":"sts:AssumeRole", "Condition":{ "ArnLike":{ "aws:SourceArn":"arn:aws:ecs:us-west-2:111122223333:*" }, "StringEquals":{ "aws:SourceAccount":"111122223333" } } } ] }
重要

在创建任务 IAM 角色时,建议您在信任关系aws:SourceAccount或与该角色关联的 IAM 策略中使用或aws:SourceArn条件键来进一步限定权限范围,以防止出现混淆的副手安全问题。使用 aws:SourceArn 条件键指定当前不受支持的特定集群时,应使用通配符来指定所有集群。要详细了解混淆代理问题以及如何保护您的 Amazon 账户,请参阅 IAM 用户指南中的混淆代理问题

以下过程通过示例策略介绍如何创建用于从 Amazon S3 检索对象的策略。用您自己的值替换所有用户输入

Amazon Web Services Management Console
使用 JSON 策略编辑器创建策略
  1. 登录 Amazon Web Services Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略

    如果这是您首次选择策略,则会显示 Welcome to Managed Policies 页面。选择开始使用

  3. 在页面的顶部,选择创建策略

  4. 策略编辑器部分,选择 JSON 选项。

  5. 输入以下 JSON 策略文档:

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":[ "arn:aws:s3:::my-task-secrets-bucket/*" ], "Condition":{ "ArnLike":{ "aws:SourceArn":"arn:aws:ecs:region:123456789012:*" }, "StringEquals":{ "aws:SourceAccount":"123456789012" } } } ] }
  6. 选择下一步

    注意

    您可以随时在可视化JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅《IAM 用户指南》中的调整策略结构

  7. 查看并创建页面上,为您要创建的策略输入策略名称描述(可选)。查看此策略中定义的权限以查看策略授予的权限。

  8. 选择创建策略可保存新策略。

Amazon CLI

用您自己的值替换所有用户输入

  1. 使用以下内容创建名为 s3-policy.json 的文件。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":[ "arn:aws:s3:::my-task-secrets-bucket/*" ], "Condition":{ "ArnLike":{ "aws:SourceArn":"arn:aws:ecs:region:123456789012:*" }, "StringEquals":{ "aws:SourceAccount":"123456789012" } } } ] }
  2. 使用以下命令使用 JSON 策略文档文件创建 IAM 策略。

    aws iam create-policy \ --policy-name taskRolePolicy \ --policy-document file://s3-policy.json

以下过程介绍如何通过附加您创建的 IAM 策略来创建任务 IAM 角色。

Amazon Web Services Management Console
为弹性容器服务创建服务角色(IAM 控制台)
  1. 登录 Amazon Web Services Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择角色,然后选择创建角色

  3. 对于 Trusted entity type(可信实体类型),选择 Amazon Web Service

  4. 对于服务或用例,选择弹性容器服务,然后选择弹性容器服务任务用例。

  5. 选择下一步

  6. 在 “添加权限” 中,搜索并选择您创建的策略。

  7. (可选)设置权限边界。这是一项高级特征,可用于服务角色,但不可用于服务相关角色。

    1. 打开设置权限边界部分,然后选择使用权限边界控制最大角色权限

      IAM 包含您账户中的 Amazon 托管策略和客户托管策略列表。

    2. 选择要用于权限边界的策略。

  8. 选择下一步

  9. 输入有助于识别角色的作用的角色名称或者角色名称后缀。

    重要

    命名角色时,请注意以下事项:

    • 角色名称在您内部必须是唯一的 Amazon Web Services 账户,并且不能因大小写而变得唯一。

      例如,不要同时创建名为 PRODROLEprodrole 的角色。当角色名称在策略中使用或者作为 ARN 的一部分时,角色名称区分大小写,但是当角色名称在控制台中向客户显示时(例如,在登录期间),角色名称不区分大小写。

    • 创建角色后,您无法编辑该角色的名称,因为其他实体可能会引用该角色。

  10. (可选)对于描述,输入角色的描述。

  11. (可选)要编辑角色的使用案例和权限,请在步骤 1:选择可信实体步骤 2:添加权限部分中选择编辑

  12. (可选)为了帮助识别、组织或搜索角色,请以键值对形式添加标签。有关在 IAM 中使用标签的更多信息,请参阅《IAM 用户指南》中的标记 IAM 资源

  13. 检查该角色,然后选择创建角色

Amazon CLI

用您自己的值替换所有用户输入

  1. 创建一个名为的文件ecs-tasks-trust-policy.json,其中包含用于任务 IAM 角色的信任策略。该文件应包含以下内容。替换区域标识符并指定启动任务时使用的 Amazon 账号。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":[ "ecs-tasks.amazonaws.com" ] }, "Action":"sts:AssumeRole", "Condition":{ "ArnLike":{ "aws:SourceArn":"arn:aws:ecs:us-west-2:111122223333:*" }, "StringEquals":{ "aws:SourceAccount":"111122223333" } } } ] }
  2. 使用上一步中创建的信任策略创建命名为 ecsTaskRole 的 IAM 角色。

    aws iam create-role \ --role-name ecsTaskRole \ --assume-role-policy-document file://ecs-tasks-trust-policy.json
  3. 使用以下命令检索您创建的 IAM 策略的 ARN。taskRolePolicy替换为您创建的策略的名称。

    aws iam list-policies --scope Local --query 'Policies[?PolicyName==`taskRolePolicy`].Arn'
  4. 将您创建的 IAM 策略附加到该ecsTaskRole角色。将policy-arn替换为您创建的策略的 ARN。

    aws iam attach-role-policy \ --role-name ecsTaskRole \ --policy-arn arn:aws:iam:111122223333:aws:policy/taskRolePolicy

ECS Exec 所需的 IAM 权限

ECS Exec 功能需要任务 IAM 角色来授予容器在托管 SSM 代理(代execute-command理)和 SSM 服务之间进行通信所需的权限。您应向任务 IAM 角色添加以下权限,并在任务定义中包含任务 IAM 角色。有关更多信息,请参阅 IAM 用户指南中的添加和删除 IAM 策略

对于您的任务 IAM 角色使用以下策略来添加所需的 SSM 权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" } ] }

为任务指定 IAM 角色

创建一个角色并向该角色附加策略后,您可以运行带入该角色的任务。您可通过多种方式执行此操作:

  • 在任务定义中为任务指定 IAM 角色。您可以创建新的任务定义或现有任务定义的新版本并指定您之前创建的角色。如果使用控制台创建任务定义,请在任务角色字段中选择 IAM 角色。有关更多信息,请参阅使用控制台创建任务定义

    如果您使用 Amazon CLI 或软件开发工具包,请使用taskRoleArn参数指定任务角色的 Amazon 资源名称 (ARN)。有关更多信息,请参阅 TaskDefinitionAmazon ECS API 参考任务定义参数

    注意

    如果要在 Amazon ECS 服务中使用 IAM 任务角色,则需要此选项。

  • 在运行任务时指定 IAM 任务角色覆盖。您可以在运行任务时指定 IAM 任务角色覆盖。如果您使用 Amazon CLI 或软件开发工具包,请使用 taskRoleArn JSON 对象中的overrides参数指定您的任务角色 ARN。有关overrides参数的更多信息,请参阅 Amazon ECS API 参考TaskOverride中的RunTask和。有关使用控制台进行重写的更多信息,请参阅创建独立任务

注意

除了运行任务和服务所需的标准 Amazon ECS 权限外,用户还需要 iam:PassRole 权限,以使用 IAM 角色执行任务。