Amazon ECS 托管实例实例配置文件 - Amazon Elastic Container Service
使用信任策略创建角色使用 Amazon CLI 创建实例配置文件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon ECS 托管实例实例配置文件

实例配置文件是一个 IAM 容器,它只包含一个 IAM 角色,并允许 Amazon ECS 托管实例安全地代入该角色。实例配置文件包含 ECS 代理代入的实例角色,用于向集群注册实例并与 ECS 服务进行通信。

重要

如果您将 Amazon ECS 托管实例与 Amazon 托管基础设施策略一起使用,则实例配置文件必须命名为 ecsInstanceRole。如果您为基础设施角色使用自定义策略,则实例配置文件可以具有备用名称。

使用信任策略创建角色

将所有用户输入替换为您自己的信息。

  1. 创建一个名为 ecsInstanceRole-trust-policy.json 的文件,其中包含要用于 IAM 角色的信任策略。该文件应包含以下内容:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": { "Service": "ec2.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. 使用您在上一步中创建的信任策略,并使用以下 Amazon CLI 命令创建一个名为 ecsInstanceRole 的角色。

    aws iam create-role \
      --role-name ecsInstanceRole \
      --assume-role-policy-document file://ecsInstanceRole-trust-policy.json

  3. 将 Amazon 托管 AmazonECSInstanceRolePolicyForManagedInstances 策略 附加到 ecsInstanceRole 角色。

    aws iam attach-role-policy \
      --role-name ecsInstanceRole \
      --policy-arn arn:aws:iam::aws:policy/AmazonECSInstanceRolePolicyForManagedInstances
    注意

    如果您选择应用最低权限,并指定您自己的权限,则可以添加以下权限,以帮助排查 Amazon ECS 托管实例与任务相关的问题:

    • ecs:StartTelemetrySession

    • ecs:PutSystemLogEvents

您也可以使用 IAM 控制台的自定义信任策略工作流程来创建该角色。有关更多信息,请参阅《IAM 用户指南》中的使用自定义信任策略创建角色(控制台)

创建该文件后,您必须向用户授予将该角色传递给 Amazon ECS 的权限。

使用 Amazon CLI 创建实例配置文件

创建角色后,请使用 Amazon CLI 创建实例配置文件:

aws iam create-instance-profile --instance-profile-name ecsInstanceRole

将角色添加到实例配置文件中:

aws iam add-role-to-instance-profile \
   --instance-profile-name ecsInstanceRole \
   --role-name ecsInstanceRole

验证是否已成功创建配置文件:

aws iam get-instance-profile --instance-profile-name ecsInstanceRole