Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Identity and Access Management
Sie könnenAWS Identity and Access Management(IAM) zum Verwalten und Steuern des Zugriffs auf IhreAWSDienste und Ressourcen durch regelbasierte Richtlinien für Authentifizierungs- und Autorisierungszwecke. Genauer gesagt, steuern Sie den Zugriff auf IhreAWS-Ressourcen mithilfe von Richtlinien verwenden, die auf IAM-Benutzer, -Gruppen oder -Rollen angewendet werden. Unter diesen drei IAM-Benutzer sind Konten, die Zugriff auf Ihre Ressourcen haben können. Außerdem ist eine IAM-Rolle ein Satz von Berechtigungen, die von einer authentifizierten Identität angenommen werden können, die nicht mit einer bestimmten Identität außerhalb von IAM verknüpft ist. Weitere Informationen finden Sie unterRichtlinien und Berechtigungen in IAM?.
Verwalten des Zugriffs auf Amazon ECS
Sie können den Zugriff auf Amazon ECS steuern, indem Sie IAM-Richtlinien erstellen und anwenden. Diese Richtlinien bestehen aus einer Reihe von Aktionen, die für einen bestimmten Satz von Ressourcen gelten. Die Aktion einer Richtlinie definiert die Liste der Vorgänge (z. B. Amazon ECS-APIs), die zulässig oder verweigert werden, während die Ressource steuert, auf welche Amazon ECS-Objekte die Aktion angewendet wird. Bedingungen können einer Richtlinie hinzugefügt werden, um ihren Geltungsbereich einzuschränken. Beispielsweise kann eine Richtlinie so geschrieben werden, dass eine Aktion nur für Aufgaben mit einem bestimmten Satz von Tags ausgeführt werden kann. Weitere Informationen finden Sie unterFunktionsweise von von von Amazon ECS mit IAMimAmazon Elastic Container Service-Entwicklerhandbuch.
Recommendations
Wenn Sie IAM-Rollen und -Richtlinien einrichten, empfehlen wir Folgendes:
Folgen Sie der Richtlinie des am wenigsten privilegierten Zugriffs
Erstellen Sie Richtlinien, mit denen Benutzer ihre vorgeschriebenen Aufträge ausführen können. Wenn ein Entwickler beispielsweise eine Aufgabe regelmäßig beenden muss, erstellen Sie eine Richtlinie, die nur diese bestimmte Aktion zulässt. Im folgenden Beispiel kann ein Benutzer nur eine Aufgabe beenden, die zu einer bestimmtentask_familyAuf einem Cluster mit einem bestimmten Amazon-Ressourcenname (ARN). Der Verweis auf einen ARN in einer Bedingung ist auch ein Beispiel für die Verwendung von Berechtigungen auf Ressourcenebene. Mit Berechtigungen auf Ressourcenebene können Sie die Ressource angeben, auf die eine Aktion angewendet werden soll.
Anmerkung
Verwenden Sie beim Verweisen auf einen ARN in einer Richtlinie das neue längere ARN-Format. Weitere Informationen finden Sie unterAmazon Ressourcennamen (ARNs) und IDsimAmazon Elastic Container Service-Entwicklerhandbuch.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopTask" ], "Condition": { "ArnEquals": { "ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>" } }, "Resource": [ "arn:aws:ecs:<region>:<aws_account_id>:task-definition/<task_family>:*" ] } ] }
Lassen Sie die Clusterressource als administrative Grenze dienen
Richtlinien, die zu eng sind, können zu einer Vielzahl von Rollen führen und den Verwaltungsaufwand erhöhen. Anstatt Rollen zu erstellen, die nur auf bestimmte Aufgaben oder Dienste beschränkt sind, erstellen Sie Rollen, die auf Cluster ausgerichtet sind, und verwenden Sie den Cluster als primäre administrative Grenze.
Endbenutzer von der Amazon ECS-API isolieren, indem automatisierte Pipelines erstellt werden
Sie können die Aktionen einschränken, die Benutzer verwenden können, indem Sie Pipelines erstellen, die Anwendungen automatisch in Amazon ECS-Clustern verpacken und bereitstellen. Auf diese Weise wird der Auftrag zum Erstellen, Aktualisieren und Löschen von Aufgaben effektiv an die Pipeline delegiert. Weitere Informationen finden Sie unterTutorial: Amazon ECS-Standardbereitstellung mit CodePipelineimAWS CodePipelineBenutzerhandbuch.
Verwenden von Richtlinienbedingungen für eine zusätzliche Sicherheitsebene
Wenn Sie eine zusätzliche Sicherheitsebene benötigen, fügen Sie Ihrer Richtlinie eine Bedingung hinzu. Dies kann nützlich sein, wenn Sie einen privilegierten Vorgang ausführen oder wenn Sie den Satz von Aktionen einschränken müssen, die für bestimmte Ressourcen ausgeführt werden können. Die folgende Beispielrichtlinie erfordert eine mehrstufige Autorisierung beim Löschen eines Clusters.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCluster" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": "true" } }, "Resource": ["*"] } ] }
Auf Services angewendete Tags werden an alle Aufgaben weitergegeben, die Teil dieses Dienstes sind. Aus diesem Grund können Sie Rollen erstellen, die auf Amazon ECS-Ressourcen mit bestimmten Tags beschränkt sind. In der folgenden Richtlinie startet und stoppt ein IAM-Prinzipal alle Aufgaben mit einem Tag-SchlüsselDepartmentund einen Tag-Wert vonAccounting.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTask", "ecs:StopTask", "ecs:RunTask" ], "Resource": "arn:aws:ecs:*", "Condition": { "StringEquals": {"ecs:ResourceTag/Department": "Accounting"} } } ] }
Überprüfen Sie regelmäßig den Zugriff auf die Amazon ECS-APIs
Ein Benutzer kann Rollen ändern. Nach dem Ändern der Rollen gelten möglicherweise die Berechtigungen, die ihnen zuvor gewährt wurden, nicht mehr. Stellen Sie sicher, dass Sie prüfen, wer Zugriff auf die Amazon ECS-APIs hat und ob dieser Zugriff weiterhin gewährleistet ist. Erwägen Sie die Integration von IAM in eine Benutzerlebenszyklusmanagement-Lösung, die automatisch den Zugriff entzieht, wenn ein Benutzer die Organisation verlässt. Weitere Informationen finden Sie unterAmazon ECS-Richtlinien zur -SicherheitsprüfungimAllgemeine Amazon Web Services Referenz.
