本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Batch执行 IAM 角色
执行角色授予 Amazon ECS 容器和Amazon Fargate代理代表您Amazon进行 API 调用的权限。
注意
该执行角色由 Amazon ECS 容器代理版本 1.16.0 和更高版本支持。
需要执行 IAM 角色,具体取决于任务的要求。您可以将多个执行角色用于与您的账户关联的服务不同目的。
注意
有关 Amazon ECS 实例角色的信息,请参阅Amazon ECS 实例角色。有关服务角色的信息,请参阅Amazon Batch 如何与 IAM 协同工作。
Amazon ECS 提供AmazonECSTaskExecutionRolePolicy托管的策略。该政策包含上述常见用例所需的权限。对于下面概述的特殊用例,可能需要在您的执行角色中添加内联策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
在Amazon Batch控制台首次运行体验中将自动为您创建一个执行角色。但是,您必须手动附加托管 IAM policy,以便 Amazon ECS 能够在引入future 功能和增强功能时添加这些功能的权限。您可以使用以下过程检查您的账户是否已经拥有执行角色,并附加托管 IAM policy(如果需要)。
在 IAM 控制台中检查 ecsTaskExecutionRole
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 Roles(角色)。
-
在角色列表中搜索
ecsTaskExecutionRole。如果您找不到该角色,请参阅创建执行 IAM 角色。如果您找到了该角色,请选择该角色以查看附加的策略。 -
在 “权限” 选项卡上,验证 AmazonECSTaskExecutionRolePolicy 托管策略是否已关联到该角色。如果附加该策略,则将正确配置执行角色。否则,请执行以下子步骤来附加策略。
-
选择添加权限,然后选择附加策略。
-
搜索 A mazonECSTaskExecutionRolePolicy。
-
选中 AmazonECSTaskExecutionRolePolicy 策略左侧的框并选择 Atach Policy(附加策略)。
-
-
选择 Trust Relationships(信任关系)。
-
验证信任关系是否包含以下策略。如果信任关系符合以下策略,则角色配置正确。如果信任关系不匹配,请选择 Edit Trust policy(编辑信任策略),然后选择 Update policy(更新策略表)。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ecs-tasks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
创建执行 IAM 角色
如果您的账户还没有执行角色,请使用以下步骤创建该角色。
创建ecsTaskExecutionRole IAM 角色
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 Roles(角色)。
-
选择 Create role(创建角色)。
-
对于 Trusted entity type(可信实体类型),选择 Amazon Web Service。
-
对于常见用例,请选择 EC2。
-
选择下一步。
-
要了解权限政策,请搜索 A mazonECSTaskExecutionRolePolicy。
-
选中 AmazonECSTaskExecutionRolePolicy 政策左侧的复选框,然后选择 “下一步”。
-
在 “角色名称” 中,输入,
ecsTaskExecutionRole然后选择 “创建角色”。