Un message d’erreur s’affiche lorsque j’utilise AWS CloudFormation pour lancer une ressource Amazon Elastic Container Service (Amazon ECS) (AWS::ECS::Service).
Brève description
Voici le message d’erreur associé à un Classic Load Balancer :
« CREATE_FAILED AWS::ECS::Service ECSService Unable to assume role and validate the listeners configured on your load balancer. Please verify the role being passed has the proper permissions. »
Voici le message d’erreur associé à un Application Load Balancer :
« CREATE_FAILED AWS::ECS::Service ECSService Unable to assume role and validate the specified targetGroupArn. Please verify that the ECS service role being passed has the proper permissions. »
Résolution
Pour résoudre une erreur concernant un Classic Load Balancer ou un Application Load Balancer, appliquez une ou plusieurs des solutions suivantes :
- Utilisez soit le paramètre de rôle Gestion des identités et des accès AWS (AWS IAM) de la section des propriétés Rôle de votre modèle CloudFormation, soit le rôle lié au service IAM pour ECS. Vérifiez ensuite que le rôle lié au service IAM dispose des autorisations appropriées.
Conseil : vous pouvez utiliser un modèle CloudFormation pour créer les composants de votre architecture ECS avec les dépendances appropriées. Les composants d’architecture incluent un cluster Amazon ECS, un service, des équilibreurs de charge, des instances de conteneur et des ressources IAM.
- Vérifiez que la propriété TargetGroupArn correspond à l’ARN complet du groupe cible d’Elastic Load Balancing.
Remarque : vous devez indiquer un ARN de groupe cible lorsque vous configurez un Application Load Balancer ou un Network Load Balancer.
- Vérifiez que votre groupe Auto Scaling Amazon EC2 ou instance de conteneur ECS dispose bien d’un profil d’instance associé en tant qu’attribut.
- Utilisez l’attribut DependsOn afin de préciser la dépendance des ressources ECS, Application Load Balancer et IAM. N’hésitez pas également à consulter le modèle CloudFormation à titre de référence. Vous pouvez aussi utiliser une ressource personnalisée pour retarder le processus de création de pile et donner aux autorisations de rôle de service le temps de se propager.