Comment puis-je autoriser les tâches Amazon ECS à extraire des images d’un référentiel d’images Amazon ECR ?

Brève description

Pour accéder au référentiel d’images Amazon ECR avec votre type de lancement, choisissez l’une des options suivantes :

• Pour les types de lancement Amazon Elastic Compute Cloud (Amazon EC2), vous devez fournir des autorisations à ecsTaskExecutionRole ou au profil d’instance associé à l’instance de conteneur. Cependant, il est toujours préférable de fournir des autorisations Amazon ECR à ecsTaskExecutionRole. Si des autorisations sont fournies à la fois à l’instance et au rôle, alors ecsTaskExecutionRole est prioritaire.
• Pour les types de lancement AWS Fargate, vous devez accorder à votre rôle d’exécution de tâche Amazon ECS l’autorisation d’accéder au référentiel d’images Amazon ECR.

Résolution

Pour les types de lancement EC2

1. Ouvrez la console AWS Identity and Access Management (IAM).
2. Dans le volet de navigation, choisissez Rôles, puis Créer un rôle.
3. Choisissez le type de rôle de service AWS.
4. Dans la section Cas d’utilisation, sélectionnez EC2. Sélectionnez ensuite Suivant.
5. Choisissez la stratégie gérée par défaut AmazonEC2ContainerServiceforEC2Role, puis sélectionnez Suivant.
   Remarque : la stratégie AmazonEC2ContainerServiceforEC2Role vous permet également d’enregistrer des instances de conteneurs dans votre cluster ECS et d’activer les flux de journaux dans Amazon CloudWatch.
6. Ajoutez des balises à votre stratégie, si vous le souhaitez, puis choisissez Suivant.
7. Pour Nom du rôle, saisissez un nom unique (comme ECSRoleforEC2), puis cliquez sur Créer un rôle.
8. Lancez une nouvelle instance de conteneur en utilisant la dernière AMI Amazon Linux optimisée pour Amazon ECS.
9. Associez le rôle que vous avez créé à la nouvelle instance de conteneur.
10. Créez une définition de tâche.
    Important : dans la section containerDefinitions de votre définition de tâche, spécifiez l’image ECR aws_account_id.dkr.ecr.region.amazonaws.com/repository:tag comme propriété de l’image.
11. Exécutez une tâche ou un service à l’aide de la définition de tâche que vous avez créée à l’étape 10.
12. (Facultatif) Si vous ne souhaitez pas octroyer des autorisations à un profil d’instance, accordez des autorisations au rôle d’exécution des tâches ECS. Exécutez ensuite une tâche ou un service à l’aide de la définition de tâche que vous avez créée à l’étape 10.

Pour les types de lancement de Fargate

Un rôle d’exécution de tâche Amazon ECS est automatiquement créé dans l’expérience de première exécution de la console Amazon ECS. Si vous ne trouvez pas le rôle ou si le rôle est supprimé, effectuez les étapes suivantes :

1. Ouvrez la console IAM.
2. Dans le volet de navigation, choisissez Rôles, puis Créer un rôle.
3. Dans la section Sélectionner le type d’entité de confiance, choisissez Elastic Container Service.
4. Pour Sélectionner votre cas d’utilisation, choisissez Elastic Container Service Task, puis cliquez sur Suivant.
5. Dans la section Attacher la stratégie des autorisations, recherchez AmazonECSTaskExecutionRolePolicy, sélectionnez la stratégie, puis cliquez sur Suivant.
   Remarque : cette stratégie fournit également des autorisations pour utiliser le pilote de journal awslogs.
6. Pour Nom de rôle, saisissez ecsTaskExecutionRole, puis cliquez sur Créer un rôle.
7. Créez une définition de tâche.
   Important : dans la section containerDefinitions de votre définition de tâche, spécifiez l’image ECR aws_account_id.dkr.ecr.region.amazonaws.com/repository:tag comme propriété de l’image. Spécifiez le rôle IAM créé à l’étape 6.
8. Exécutez une tâche ou un service à l’aide de la définition de tâche que vous avez créée à l’étape 7.

Votre tâche ou service peut désormais extraire des images du référentiel d’images Amazon ECR.

Informations connexes

Utilisation d’images Amazon ECR avec Amazon ECS