适用于 Amazon ECS 的 IAM 角色 - Amazon Elastic Container Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon ECS 的 IAM 角色

IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。在 Amazon ECS 中,您可以创建角色来授予对 Amazon ECS 资源(例如容器或服务)的权限。

Amazon ECS 需要的角色取决于任务定义启动类型和您使用的功能。使用下表确定 Amazon ECS 需要哪些 IAM 角色。

角色 定义 何时需要 更多信息
任务执行角色 此角色允许 Amazon ECS 代表您使用其他 Amazon 服务。

您的任务托管在 Amazon Fargate上且:

  • 从 Amazon ECR 私有存储库中提取容器映像。

  • 在与运行任务的账户不同的账户中,从 Amazon ECR 私有存储库中提取容器映像。

  • 使用 awslogs 日志驱动程序将容器日志发送到 CloudWatch Logs。

您的任务托管在 Amazon Fargate 或 Amazon EC2 实例上且:

  • 使用私有注册表身份验证。

  • 使用运行时监控。

  • 任务定义使用 Secrets Manager 密钥或 Amazon Systems Manager Parameter Store 参数引用敏感数据。

 Amazon ECS 任务执行 IAM 角色
任务角色 此角色允许您的应用程序代码(在容器上)使用其他 Amazon 服务。 您的应用程序访问其他 Amazon 服务,例如 Amazon S3。 Amazon ECS 任务 IAM 角色
容器实例角色 此角色允许您的 EC2 实例或外部实例向集群注册。 您的任务托管在 Amazon EC2 实例或外部实例上。 Amazon ECS 容器实例 IAM 角色
Amazon ECS Anywhere 角色 此角色允许您的外部实例访问 Amazon API。 您的任务托管在外部实例上。 Amazon ECS Anywhere IAM 角色
Amazon ECS CodeDeploy 角色 此角色允许 CodeDeploy 对您的服务进行更新。 您可使用 CodeDeploy 蓝/绿部署类型来部署服务。 Amazon ECS CodeDeploy IAM 角色
Amazon ECS EventBridge 角色 此角色允许 EventBridge 对您的服务进行更新。 您可使用 EventBridge 规则和目标来计划任务。 Amazon ECS EventBridge IAM 角色
Amazon ECS 基础设施角色 此角色允许 Amazon ECS 管理集群中的基础设施资源。

  • 您想将 Amazon EBS 卷附加到您的 Fargate 或 EC2 启动类型 Amazon ECS 任务。基础设施角色允许 Amazon ECS 为您的任务管理 Amazon EBS 卷。

  • 您想使用传输层安全性协议(TLS)加密您的 Amazon ECS Service Connect 服务之间的流量。