ECS(Fargate)で利用するIAMロールを整理する

こんばんわ、札幌のヨシエです。

今回は以前に書いたECSで利用するIAMロールのFargate版をまとめてみました。 結果を先に書くとEC2よりも検討するロールは少なくなりました、詳細なところはEC2に書いているので以下のURLを参照いただければと思います。

ECS(EC2)で利用するIAMロールを整理する

どういうIAMロールが存在するのか？

EC2と同様に列挙してみました。

ロール名	役割	備考
タスク実行ロール	起動されるECSコンテナエージェントで使用されるIAMロール	AWS管理ポリシーにてECSコンテナエージェントの機能は実現されていると考えられ、変更は不要と考えられる
タスクロール	コンテナで使用されるIAMロール	コンテナが他AWSサービスと連携する際に変更が必要

タスク実行ロール

EC2と同様にECS-Agentが使用するIAMロールです。

ECRへタスク定義に設定されているコンテナイメージ取得(=Pull)やログドライバーを使ってCloudWatchLogsへのログ転送を行う時に使用されます。

タスクロール

タスク(=コンテナ)に付与するIAMロールです。 使用するAWSリソースに応じてポリシーを適用するIAMロールとなります。

コンテナインスタンスロール

• ECSエージェントを実行しているコンテナインスタンスがエージェントをユーザーに属していることを証明するために必要となります。
• こちらのロールはEC2でコンテナを起動する時のみ使用されるのでFargateでは指定が不要となります

最後に

ECSで利用されるIAMロールを纏めてみました、IAMロールは適用範囲が異なりますのでフォローになると幸いです。