Rolul de executie a sarcinii acorda containerului Amazon ECS si agentilor Fargate permisiunea de a efectua apeluri AWS API in numele dvs. Rolul IAM de executie a sarcinii este necesar in functie de cerintele sarcinii dvs. Puteti avea mai multe roluri de executie a sarcinilor pentru diferite scopuri si servicii asociate contului dvs.

Urmatoarele sunt cazuri de utilizare obisnuite pentru un rol IAM de executie a sarcinilor:

  • Sarcina dvs. este gazduita pe AWS Fargate sau pe o instanta externa si …

    • extrage o imagine de container dintr-un depozit privat Amazon ECR.

    • trimite jurnalele containerelor catre jurnalele CloudWatch folosind driverul jurnalului awslogs. Pentru mai multe informatii, consultati Utilizarea driverului de jurnal awslogs.

  • Sarcinile dvs. sunt gazduite fie pe instante AWS Fargate, fie pe Amazon EC2 si …

Rolul de executie a activitatii este acceptat de Amazon ECS container agent versiunea 1.16.0 si mai recenta.

Amazon ECS ofera politica gestionata denumita AmazonECSTaskExecutionRolePolicy care contine permisiunile pe care le necesita cazurile de utilizare obisnuite descrise mai sus. Poate fi necesar sa adaugati politici in linie la rolul dvs. de executare a sarcinilor pentru cazuri de utilizare speciale, care sunt prezentate mai jos.

{“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Action”: [“ecr: GetAuthorizationToken”, “ecr: BatchCheckLayerAvailability”, “ecr: GetDownloadUrlForLayer”, “ecr: BatchGetImage”, “logs: CreateLogStream”, “logs: PutLogEvents”], “Resource”: “*”}]}

Un rol de executie a sarcinii Amazon ECS poate fi creat pentru dvs. in consola Amazon ECS; cu toate acestea, ar trebui sa atasati manual politica IAM gestionata pentru sarcini pentru a permite Amazon ECS sa adauge permisiuni pentru viitoarele caracteristici si imbunatatiri pe masura ce sunt introduse. Puteti utiliza urmatoarea procedura pentru a verifica si a vedea daca contul dvs. are deja rolul de executie a sarcinii Amazon ECS si pentru a atasa politica IAM gestionata, daca este necesar.

Pentru a verifica rolul ecsTaskExecutionRole in consola IAM

  1. Deschideti consola IAM la https://console.aws.amazon.com/iam/.

  2. In panoul de navigare, alegeti Roluri .

  3. Cautati lista rolurilor pentru ecsTaskExecutionRole. Daca rolul nu exista, consultati Crearea rolului IAM de executie a activitatii. Daca rolul exista, selectati rolul pentru a vizualiza politicile atasate.

  4. In fila Permisiuni , asigurati-va ca politica gestionata AmazonECSTaskExecutionRolePolicy este atasata rolului. Daca politica este atasata, rolul dvs. de executare a sarcinii Amazon ECS este configurat corect. Daca nu, urmati pasii de mai jos pentru a atasa politica.

    1. Alegeti Atasati politici .

      española folla penes enormes
      orgia bisexual follando a mi hijastra
      porno madre hijo español porno retro incesto
      ver pelis eroticas presentadoras desnudas
      miriam sanchez videos porno travesti paja
      pilladas desnudas abuela española follando
      xxxmamas pelis porno español online
      porno gay cerdo porno jovencitas españolas
      se folla al follando con la abuela
      porno hentail maduras peludas españolas
      penes erectos andaluzas follando
      pilladas cagando porno hoy
      mamada a caballo mujeresfollando
      pilladas españolas follando jolla pr
      violadas xxx gays haciendo el amor
      españolas follando por dinero subporno
      madura se corre porno español playa
      videos gays españoles lecturas porno
      porno viola a su madre hentai castellano
      me corro sin avisar videos porno manga

    2. Pentru a restrange politicile disponibile de atasat, pentru Filter , tastati AmazonECSTaskExecutionRolePolicy .

    3. Bifati caseta din stanga politicii AmazonECSTaskExecutionRolePolicy si alegeti Atasati politica .

  5. Alegeti Relatii de incredere , Editati relatia de incredere .

  6. Verificati daca relatia de incredere contine urmatoarea politica. Daca relatia de incredere corespunde politicii de mai jos, alegeti Anulare . Daca relatia de incredere nu se potriveste, copiati politica in fereastra Document de politica si alegeti Actualizati politica de incredere .

    {“Version”: “2012-10-17”, “Statement”: [{“Sid”: “”, “Effect”: “Allow”, “Principal”: {“Service”: “ecs-tasks.amazonaws. com “},” Action “:” sts: AssumeRole “}]}

Crearea rolului IAM de executie a sarcinii

Daca contul dvs. nu are deja un rol de executie a sarcinii, urmati pasii urmatori pentru a crea rolul.

Pentru a crea un rol IAM de executie a sarcinilor (AWS Management Console)

  1. Deschideti consola IAM la https://console.aws.amazon.com/iam/.

  2. In panoul de navigare, alegeti Roluri , Creati rol .

  3. In sectiunea Selectati tipul de entitate de incredere , alegeti serviciul AWS , Elastic Container Service .

  4. Pentru Selectati-va cazul de utilizare , alegeti Elastic Container Service Task , apoi alegeti Next: Permissions .

  5. In sectiunea Politica atasare permisiuni , cautati AmazonECSTaskExecutionRolePolicy , selectati politica, apoi alegeti Urmatorul: Etichete .

  6. Pentru Adaugare etichete (optional) , specificati orice etichete personalizate pe care sa le asociati politicii si apoi alegeti Urmatorul: Examinati .

  7. Pentru Nume rol , tastati ecsTaskExecutionRole si alegeti Creati rol .

Pentru a crea un rol IAM de executie a sarcinilor (AWS CLI)

  1. Creati un fisier numit ecs-tasks-trust-policy.json care contine politica de incredere de utilizat pentru rolul IAM. Fisierul ar trebui sa contina urmatoarele:

    {“Version”: “2012-10-17”, “Statement”: [{“Sid”: “”, “Effect”: “Allow”, “Principal”: {“Service”: “ecs-tasks.amazonaws. com “},” Action “:” sts: AssumeRole “}]}

  2. Creati un rol IAM numit ecsTaskExecutionRole utilizand politica de incredere creata in pasul anterior.

    aws iam create-role \ –role-name ecsTaskExecutionRole \ –assume-role-policy-document fisier: //ecs-tasks-trust-policy.json

  3. Atasati politica AmazonECSTaskExecutionRolePolicy gestionata de AWS la rolul ecsTaskExecutionRole. Aceasta politica prevede

    aws iam attach-role-policy \ –role-name ecsTaskExecutionRole \ –policy-arn arn: aws: iam :: aws: policy / AmazonECSTaskExecutionRolePolicy

Permisiuni IAM necesare pentru autentificarea registrului privat

Rolul de executie a sarcinii Amazon ECS este necesar pentru a utiliza caracteristica de autentificare a registrului privat. Aceasta permite agentului containerului sa traga imaginea containerului. Pentru mai multe informatii, consultati Autentificarea registrului privat pentru activitati.

Pentru a oferi acces la secretele pe care le creati, adaugati manual urmatoarele permisiuni ca politica in linie la rolul de executare a activitatii. Pentru mai multe informatii, consultati Adaugarea si eliminarea politicilor IAM.

  • secretmanager: GetSecretValue

  • kms: Decrypt — Necesar numai daca cheia dvs. foloseste o cheie KMS personalizata si nu cheia implicita. ARN-ul pentru cheia personalizata ar trebui adaugat ca resursa.

Un exemplu de politica in linie care adauga permisiunile este prezentat mai jos.

{“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Action”: [“kms: Decrypt”, “secretsmanager: GetSecretValue”], “Resource”: [ “arn: aws: secretsmanager: <region>: <aws_account_id>: secret: secret_name”, “arn: aws: kms: <region>: <aws_account_id>: key / key_id”]}]}

Permisiuni IAM necesare pentru secretele Amazon ECS

Pentru a utiliza caracteristica secretelor Amazon ECS, trebuie sa aveti rolul de executie a sarcinii Amazon ECS si sa il faceti referire in definitia sarcinii dvs. Aceasta permite agentului container sa extraga resursele necesare AWS Systems Manager sau Secrets Manager. Pentru mai multe informatii, consultati Specificarea datelor sensibile.

Pentru a oferi acces la parametrii Magazinului de parametri AWS Systems Manager pe care ii creati, adaugati manual urmatoarele permisiuni ca politica in linie la rolul de executie a activitatii. Pentru mai multe informatii, consultati Adaugarea si eliminarea politicilor IAM.

  • ssm: GetParameters — Obligatoriu daca faceti referire la un parametru System Manager Parameter Store intr-o definitie a activitatii.

  • secretsmanager: GetSecretValue — Obligatoriu daca faceti referire la un secret Secrets Manager fie direct, fie daca parametrul System Manager Parameter Store face referinta la un secret Secrets Manager intr-o definitie a sarcinii.

  • kms: Decrypt — Obligatoriu numai daca secretul dvs. foloseste o cheie KMS personalizata si nu cheia implicita. ARN-ul pentru cheia personalizata ar trebui adaugat ca resursa.

Urmatorul exemplu de politica in linie adauga permisiunile necesare:

{“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Action”: [“secretsmanager: GetSecretValue”, “kms: Decrypt”], “Resource”: [ “arn: aws: secretsmanager: <region>: <aws_account_id>: secret: <secret_name>”, “arn: aws: kms: <region>: <aws_account_id>: key / <key_id>”]}]}

Permisiuni IAM optionale pentru sarcinile Fargate care trag imagini Amazon ECR peste punctele finale ale interfetei

Cand lansati sarcini care utilizeaza tipul de lansare Fargate care extrag imagini de la Amazon ECR atunci cand Amazon ECR este configurat pentru a utiliza un punct final VPC de interfata, puteti restrictiona accesul sarcinilor la un punct final final VPC sau VPC. Faceti acest lucru creand un rol de executie a sarcinilor pentru sarcinile de utilizat care utilizeaza cheile de conditie IAM.

Utilizati urmatoarele chei de conditii globale IAM pentru a restrictiona accesul la un punct final final VPC sau VPC. Pentru mai multe informatii, consultati Cheile de context ale conditiei globale AWS.

  • aws: SourceVpc — Restrictioneaza accesul la un anumit VPC.

  • aws: SourceVpce — Restrictioneaza accesul la un punct final VPC specific.

Urmatoarea politica de rol de executie a sarcinii ofera un exemplu pentru adaugarea cheilor de conditie:

Actiunea API ecr: GetAuthorizationToken nu poate avea cheile de conditie aws: sourceVpc sau aws: sourceVpce aplicate, deoarece apelul API GetAuthorizationToken trece prin interfata de retea elastica detinuta de AWS Fargate, mai degraba decat interfata de retea elastica a sarcinii.

{“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Action”: [“ecr: GetAuthorizationToken”, “logs: CreateLogStream”, “logs: PutLogEvents”] , “Resource”: “*”}, {“Effect”: “Allow”, “Action”: [“ecr: BatchCheckLayerAvailability”, “ecr: GetDownloadUrlForLayer”, “ecr: BatchGetImage”], “Resource”: “*” , “Condition”: {“StringEquals”: {“aws: sourceVpce”: “vpce-xxxxxx”, “aws: sourceVpc”: “vpc-xxxxx”}} }}}

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR