ECS(Fargate)で利用するIAMロールを整理する

2020.03.06

ECS(Fargate)で利用するIAMロールを整理する

こんばんわ、札幌のヨシエです。

今回は以前に書いたECSで利用するIAMロールのFargate版をまとめてみました。 結果を先に書くとEC2よりも検討するロールは少なくなりました、詳細なところはEC2に書いているので以下のURLを参照いただければと思います。

ECS(EC2)で利用するIAMロールを整理する

どういうIAMロールが存在するのか?

EC2と同様に列挙してみました。

ロール名 役割 備考
タスク実行ロール 起動されるECSコンテナエージェントで使用されるIAMロール AWS管理ポリシーにてECSコンテナエージェントの機能は実現されていると考えられ、変更は不要と考えられる
タスクロール コンテナで使用されるIAMロール コンテナが他AWSサービスと連携する際に変更が必要

タスク実行ロール

EC2と同様にECS-Agentが使用するIAMロールです。

ECRへタスク定義に設定されているコンテナイメージ取得(=Pull)やログドライバーを使ってCloudWatchLogsへのログ転送を行う時に使用されます。

タスクロール

タスク(=コンテナ)に付与するIAMロールです。 使用するAWSリソースに応じてポリシーを適用するIAMロールとなります。

コンテナインスタンスロール

  • ECSエージェントを実行しているコンテナインスタンスがエージェントをユーザーに属していることを証明するために必要となります。
  • こちらのロールはEC2でコンテナを起動する時のみ使用されるのでFargateでは指定が不要となります

最後に

ECSで利用されるIAMロールを纏めてみました、IAMロールは適用範囲が異なりますのでフォローになると幸いです。