Ich erhalte eine Fehlermeldung, wenn ich AWS CloudFormation verwende, um eine Amazon Elastic Container Service (Amazon ECS)-Ressource (AWS::ECS::Service) zu starten.
Kurzbeschreibung
Die Fehlermeldung für einen Classic Load Balancer lautet etwa wie folgt:
„CREATE_FAILED AWS::ECS::Service ECSService Unable to assume role and validate the listeners configured on your load balancer. Please verify the role being passed has the proper permissions.“
Die Fehlermeldung für einen Application Load Balancer lautet etwa wie folgt:
„CREATE_FAILED AWS::ECS::Service ECSService Unable to assume role and validate the specified targetGroupArn. Please verify that the ECS service role being passed has the proper permissions.“
Behebung
Verwenden Sie eine oder mehrere der folgenden Lösungen, um den Fehler für einen Classic Load Balancer oder einen Application Load Balancer zu beheben:
- Verwenden Sie entweder den Rollenparameter AWS Identity and Access Management (IAM) aus dem Eigenschaftsbereich Rolle Ihrer CloudFormation-Vorlage oder die serviceverknüpfte IAM-Rolle für ECS. Vergewissern Sie sich anschließend, dass die serviceverknüpfte IAM-Rolle über die richtigen Berechtigungen verfügt.
Tipp: Sie können eine CloudFormation-Vorlage verwenden, um Ihre ECS-Architekturkomponenten mit den richtigen Abhängigkeiten zu erstellen. Zu den Architekturkomponenten gehören ein ECS Cluster, ein Service, ein Load Balancer, Container-Instances und IAM-Ressourcen.
- Vergewissern Sie sich, dass die Eigenschaft TargetGroupArn dem vollständigen ARN der Elastic-Load-Balancing-Zielgruppe entspricht.
Hinweis: Sie geben einen Zielgruppen-ARN an, wenn Sie einen Application Load Balancer oder Network Load Balancer einrichten.
- Vergewissern Sie sich, dass Ihrer Amazon-EC2-Auto-Scaling-Gruppe oder ECS Container Instance ein Instance-Profil als Attribut zugeordnet ist.
- Verwenden Sie das Attribut DependsOn, um die Abhängigkeit für ECS, Ressourcen des Application Load Balancers und IAM-Ressourcen anzugeben. Sie können auch die CloudFormation-Vorlage als Referenz verwenden. Alternativ können Sie eine benutzerdefinierte Ressource verwenden, um den Stack-Erstellungsprozess zu verzögern und den Servicerollenberechtigungen Zeit für die Übertragung zu geben.