AWS ECS（Elastic Container Service）是一种全托管的容器编排服务，用于在 AWS 上运行和管理 Docker 容器。

在 ECS 中，有两种重要的角色：ecsInstanceRole 和 ecsTaskExecutionRole。

1. ecsInstanceRole：

   • 这是一个 EC2 实例角色，用于在 ECS 集群中运行 EC2 实例。
   • 它授予 EC2 实例访问 ECS 服务和资源的权限。
   • ecsInstanceRole 是为了让 EC2 实例能够将自身注册到 ECS 集群，并接收来自 ECS 控制平面的指令。
   • 例如，ecsInstanceRole 可以授予 EC2 实例执行任务所需的权限，包括拉取容器镜像、上传日志等。

2. ecsTaskExecutionRole：

   • 这是一个 IAM 角色，用于执行任务定义中的 ECS 任务。
   • 它授予 ECS 服务执行任务所需的权限。
   • ecsTaskExecutionRole 是为了让 ECS 服务能够代表任务执行相关操作，例如拉取容器镜像、创建和管理任务所需的资源等。
   • 例如，ecsTaskExecutionRole 可以授予 ECS 服务在执行任务时访问其他 AWS 服务（如 S3 存储桶、DynamoDB 表等）的权限。

以下是基于 AWS CLI 的代码示例，用于创建 ecsInstanceRole 和 ecsTaskExecutionRole：

1. 创建 ecsInstanceRole：

aws iam create-role --role-name ecsInstanceRole --assume-role-policy-document file://trust-policy.json

其中，trust-policy.json 文件内容如下：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

2. 创建 ecsTaskExecutionRole：

aws iam create-role --role-name ecsTaskExecutionRole --assume-role-policy-document file://trust-policy.json

其中，trust-policy.json 文件内容如下：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ecs-tasks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

以上示例代码演示了如何使用 AWS CLI 创建 ecsInstanceRole 和 ecsTaskExecutionRole，并指定对应的信任策略。实际使用中，还需要为这些角色授予适当的权限策略，以满足实际需求。