Uso di ruoli collegati ai servizi per Amazon ECS - Amazon Elastic Container Service
Autorizzazioni del ruolo collegato ai servizi per Amazon ECSCreazione di un ruolo collegato al servizio per Amazon ECSModifica di un ruolo collegato al servizio per Amazon ECSEliminazione di un ruolo collegato ai servizi per Amazon ECSRegioni supportate per i ruoli collegati ai servizi di Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Uso di ruoli collegati ai servizi per Amazon ECS

Amazon Elastic Container Service utilizza AWS Identity and Access Management ruoli collegati ai servizi (IAM). Un ruolo collegato ai servizi è un tipo di ruolo IAM univoco collegato direttamente ad Amazon ECS. I ruoli collegati ai servizi sono definiti automaticamente da Amazon ECS e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi AWS per tuo conto.

Un ruolo collegato ai servizi semplifica la configurazione di Amazon ECS perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Amazon ECS definisce le autorizzazioni dei ruoli collegati ai servizi e, salvo diversamente definito, solo Amazon ECS può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

Per informazioni su altri servizi che supportano ruoli collegati ai servizi, consulta i AWS servizi che funzionano con IAM e cerca i servizi con nella colonna Ruoli collegati ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per Amazon ECS

Amazon ECS utilizza il ruolo collegato al servizio denominato ECS. AWSService RoleFor

Il ruolo collegato AWSService RoleFor ai servizi ECS si affida ai seguenti servizi per assumere il ruolo:

  • ecs.amazonaws.com

La politica di autorizzazione dei ruoli denominata Amazon ECSService RolePolicy consente ad Amazon ECS di completare le seguenti azioni sulle risorse specificate:

  • Azione: quando utilizzi la modalità di rete awsvpc per le attività Amazon ECS, Amazon ECS gestisce il ciclo di vita delle interfacce di rete elastiche associate all'attività. Ciò include anche i tag che Amazon ECS aggiunge alle interfacce di rete elastiche.

  • Azione: quando si utilizza un sistema di bilanciamento del carico con il servizio Amazon ECS, Amazon ECS gestisce la registrazione e l'annullamento della registrazione delle risorse con il sistema di bilanciamento del carico.

  • Azione: quando si utilizza Amazon ECS Service Discovery, Amazon ECS gestisce la Route 53 e AWS Cloud Map le risorse necessarie per il funzionamento del service discovery.

  • Operazione: quando si utilizza il dimensionamento automatico del servizio Amazon ECS, Amazon ECS gestisce le risorse con dimensionamento automatico richieste.

  • Azione: Amazon ECS crea e gestisce CloudWatch allarmi e flussi di log che aiutano nel monitoraggio delle tue risorse Amazon ECS.

  • Operazione: quando si utilizza Amazon ECS Exec, Amazon ECS gestisce le autorizzazioni necessarie per avviare le sessioni Amazon ECS Exec per le attività.

  • Operazione: quando si utilizza Amazon ECS Service Connect, Amazon ECS gestisce le risorse AWS Cloud Map richieste per utilizzare la funzionalità.

  • Azione: quando si utilizzano i provider di capacità Amazon ECS, Amazon ECS gestisce le autorizzazioni necessarie per modificare il gruppo Auto Scaling e le relative istanze Amazon. EC2

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato al servizio per Amazon ECS

Nella maggior parte dei casi, non devi creare manualmente un ruolo collegato ai servizi. Quando crei un cluster o crei o aggiorni un servizio nell' AWS Management Console AWS API AWS CLI, Amazon ECS crea il ruolo collegato al servizio per te. Se non vedi il ruolo AWSServiceRoleForECS dopo aver creato un cluster, esegui le seguenti operazioni per risolvere il problema:

  • Verifica e configura le autorizzazioni per consentire ad Amazon ECS di creare, modificare o eliminare un ruolo collegato ai servizi per tuo conto. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

  • Ritenta l'operazione di creazione del cluster o crea manualmente il ruolo collegato al servizio.

    Puoi utilizzare la console IAM per creare il ruolo collegato al servizio AWSServiceRoleForECS. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. ecs.amazonaws.com Per ulteriori informazioni, consulta Creazione di un ruolo collegato al servizio nella Guida per l'utente di IAM.

Importante

Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo.

Se elimini questo ruolo collegato al servizio, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei un cluster oppure quando crei o aggiorni un servizio, Amazon ECS crea il ruolo collegato al servizio per tuo conto.

Se elimini questo ruolo collegato al servizio, puoi utilizzare lo stesso processo IAM per crearlo nuovamente.

Modifica di un ruolo collegato al servizio per Amazon ECS

Amazon ECS non consente di modificare il ruolo collegato al servizio AWSService RoleFor ECS. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Aggiornare un ruolo collegato al servizio nella Guida per l'utente IAM.

Eliminazione di un ruolo collegato ai servizi per Amazon ECS

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

Nota

Se il servizio Amazon ECS utilizza tale ruolo quando provi a eliminare le risorse, è possibile che l'eliminazione non riesca. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per verificare se il ruolo collegato al servizio dispone di una sessione attiva

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli e scegli il nome AWSService RoleFor ECS (non la casella di controllo).

  3. Nella pagina Riepilogo, seleziona Consulente accessi ed esamina l'attività recente per il ruolo collegato al servizio.

    Nota

    Se non sei sicuro che Amazon ECS stia utilizzando il ruolo AWSService RoleFor ECS, puoi provare a eliminarlo. Se il servizio sta utilizzando il ruolo, l'eliminazione non andrà a buon fine e potrai visualizzare le regioni in cui il ruolo viene utilizzato. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato al servizio.

Per rimuovere le risorse Amazon ECS utilizzate dal ruolo collegato al AWSService RoleFor servizio ECS

È necessario eliminare tutti i cluster Amazon ECS in tutte le AWS regioni prima di poter eliminare il ruolo AWSService RoleFor ECS.

  1. Dimensione a 0 il conteggio di tutti i servizi Amazon ECS in tutte le regioni, quindi elimina i servizi. Per ulteriori informazioni, consulta Aggiornamento di un servizio Amazon ECS tramite la console e Eliminazione di un servizio Amazon ECS tramite la console.

  2. Forza l'annullamento della registrazione di tutte le istanze di container da tutti i cluster in tutte le regioni. Per ulteriori informazioni, consulta Annullamento della registrazione di un'istanza di container Amazon ECS.

  3. Elimina tutti i cluster Amazon ECS in tutte le regioni. Per ulteriori informazioni, consulta Eliminazione di un cluster Amazon ECS.

Eliminazione manuale del ruolo collegato al servizio con IAM

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio AWSService RoleFor ECS. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato al servizio nella Guida per l'utente di IAM.

Regioni supportate per i ruoli collegati ai servizi di Amazon ECS

Amazon ECS supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Regioni ed endpoint di AWS.