Terraformを使用して、AWSでいくつかのサービスを作成しています。これらのサービスの1つはECSタスク定義です。私はドキュメントに従いましたが、次のエラーが発生し続けます:
aws_ecs_task_definition.github-backup: ClientException: Fargate requires task definition to have execution role ARN to support ECR images.
status code: 400, request id: 84df70ec-94b4-11e8-b116-97f92c6f483f
まず、task_role_arn
はオプションであり、新しいロールが作成されたことがわかります。また、タスク定義に必要な権限を持つロールを自分で作成してみました。
私が持っているものは次のとおりです。
resource "aws_ecs_task_definition" "github-backup" {
family = "${var.task_name}"
requires_compatibilities = ["FARGATE"]
network_mode = "awsvpc"
cpu = "${var.fargate_cpu}"
memory = "${var.fargate_memory}"
task_role_arn = "${aws_iam_role.github-role.arn}"
container_definitions = <<DEFINITION
[
{
"cpu": ${var.fargate_cpu},
"image": "${var.image}",
"memory": ${var.fargate_memory},
"name": "github-backup",
"networkMode": "awsvpc"
}
]
DEFINITION
}
resource "aws_iam_policy" "access_policy" {
name = "github_policy"
policy = <<EOF
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1532966429082",
"Action": [
"s3:PutObject",
"s3:PutObjectTagging",
"s3:PutObjectVersionTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::zego-github-backup11"
},
{
"Sid": "Stmt1532967608746",
"Action": "lambda:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
EOF
}
resource "aws_iam_role" "github-role" {
name = "github-backup"
assume_role_policy = <<EOF
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": [
"s3.amazonaws.com",
"lambda.amazonaws.com",
"ecs.amazonaws.com"
]
},
"Effect": "Allow",
"Sid": ""
}
]
}
EOF
}
resource "aws_iam_role_policy_attachment" "test-attach" {
role = "${aws_iam_role.github-role.name}"
policy_arn = "${aws_iam_policy.access_policy.arn}"
}
Terraformプランではエラーは表示されません。 Terraform Applyを実行しているときにのみ、このエラーが発生します。タスク定義に必要なアクセス許可を持つロールを提供していますが、これは引き続き取得できます。これの何が問題になっていますか?
AWS ECSユーザーガイド で説明したように、Fargateタスクでは、タスク定義の一部として実行ロールを指定する必要があります。
EC2インスタンス自体には、コンテナイメージをプルし、オプションでログをCloudwatchにプッシュできるIAMロールが必要であるため、EC2起動タイプのタスクにはこれは必要ありません。
これはEC2の起動タイプではオプションであるため、Terraformはこれをオプションにする必要があります。厳密に言えば、Terraformには計画時にクロスフィールド検証を行う方法がないため、Fargate起動タイプのタスクがあるため、execution_role_arn
を指定する必要があることを計画で伝えることはできません。プロバイダーのソースでCustomizeDiff
を使用してこれを回避する方法がありますが、それはすべて地獄のようにハッキングされており、現在はいくつかの場所でのみ使用されています。
実行ロールはタスクを起動するために必要なものであり、タスクが物事を実行できるようにするタスクのロールではないことに注意してください。
そのため、タスクがS3とまったく対話しないように、IAMポリシーからECS関連のアクセス許可を削除する必要があります。代わりに、適切な権限を持つロールを実行ロールとして追加するだけです。
AWSが管理するECSタスク実行ロールを使用するには、次のようにします。
data "aws_iam_role" "ecs_task_execution_role" {
name = "ecsTaskExecutionRole"
}
resource "aws_ecs_task_definition" "github-backup" {
family = "${var.task_name}"
requires_compatibilities = ["FARGATE"]
network_mode = "awsvpc"
cpu = "${var.fargate_cpu}"
memory = "${var.fargate_memory}"
task_role_arn = "${aws_iam_role.github-role.arn}"
execution_role_arn = "${data.aws_iam_role.ecs_task_execution_role.arn}"
container_definitions = <<DEFINITION
[
{
"cpu": ${var.fargate_cpu},
"image": "${var.image}",
"memory": ${var.fargate_memory},
"name": "github-backup",
"networkMode": "awsvpc"
}
]
DEFINITION
}