ECS(Fargate)で利用するIAMロールを整理する
ECS(Fargate)で利用するIAMロールを整理する
こんばんわ、札幌のヨシエです。
今回は以前に書いたECSで利用するIAMロールのFargate版をまとめてみました。 結果を先に書くとEC2よりも検討するロールは少なくなりました、詳細なところはEC2に書いているので以下のURLを参照いただければと思います。
どういうIAMロールが存在するのか?
EC2と同様に列挙してみました。
ロール名 | 役割 | 備考 |
---|---|---|
タスク実行ロール | 起動されるECSコンテナエージェントで使用されるIAMロール | AWS管理ポリシーにてECSコンテナエージェントの機能は実現されていると考えられ、変更は不要と考えられる |
タスクロール | コンテナで使用されるIAMロール | コンテナが他AWSサービスと連携する際に変更が必要 |
タスク実行ロール
EC2と同様にECS-Agentが使用するIAMロールです。
ECRへタスク定義に設定されているコンテナイメージ取得(=Pull)やログドライバーを使ってCloudWatchLogsへのログ転送を行う時に使用されます。
タスクロール
タスク(=コンテナ)に付与するIAMロールです。 使用するAWSリソースに応じてポリシーを適用するIAMロールとなります。
コンテナインスタンスロール
- ECSエージェントを実行しているコンテナインスタンスがエージェントをユーザーに属していることを証明するために必要となります。
- こちらのロールはEC2でコンテナを起動する時のみ使用されるのでFargateでは指定が不要となります
最後に
ECSで利用されるIAMロールを纏めてみました、IAMロールは適用範囲が異なりますのでフォローになると幸いです。