Erforderliche Berechtigungen für die Amazon ECS-Konsole mit CloudFormation - Amazon Elastic Container Service
Erforderliche Berechtigungen zum Erstellen eines ClustersErforderliche Berechtigungen zum Erstellen eines Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche Berechtigungen für die Amazon ECS-Konsole mit CloudFormation

Bevor Sie die AWS-Managementkonsole zum Erstellen Ihrer Ressourcen verwenden, müssen Sie sicherstellen, dass Sie über die richtigen IAM-Berechtigungen verfügen. Informationen dazu, wie Sie zunächst allgemeine Berechtigungen für die Amazon-ECS-Konsole einrichten, finden Sie unter Erforderliche Berechtigungen für die Amazon-ECS-Konsole.

Die Amazon ECS-Konsole wird betrieben von AWS CloudFormation und benötigt in den folgenden Fällen zusätzliche IAM-Berechtigungen:

  • Einen Cluster erstellen

  • Erstellen eines Service

  • Erstellen eines Kapazitätsanbieters

Sie können eine Richtlinie für die zusätzlichen Berechtigungen erstellen und sie dann der IAM-Rolle zuordnen, die Sie für den Zugriff auf die Konsole verwenden. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Erforderliche Berechtigungen zum Erstellen eines Clusters

Wenn Sie einen Cluster in der Konsole erstellen, benötigen Sie zusätzliche Berechtigungen, die Ihnen Berechtigungen zur Verwaltung von CloudFormation Stacks gewähren.

Die folgende zusätzliche Berechtigung ist erforderlich:

  • cloudformation: Ermöglicht Prinzipalen das Erstellen und Verwalten von CloudFormation -Stapeln. Dies ist erforderlich, wenn Sie Amazon-ECS-Cluster mit AWS-Managementkonsole erstellen und anschließend dieser Cluster verwalten.

  • ssm— Ermöglicht das CloudFormation Verweisen auf das neueste Amazon ECS-optimierte AMI. Dies ist erforderlich, wenn Sie Amazon ECS-Cluster mit dem erstellen AWS-Managementkonsole.

Die folgende Richtlinie enthält die erforderlichen CloudFormation Berechtigungen und beschränkt die Aktionen auf Ressourcen, die in der Amazon ECS-Konsole erstellt wurden.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack"
             ],
            "Resource": [
                "arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*"
            ]
      },
      {
          "Effect": "Allow",
          "Action": "ssm:GetParameters",
          "Resource": [
            "arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2*/*",
            "arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2023*/*"
          ]
      }
   ]
}

Wenn Sie die Amazon ECS-Container-Instance-Rolle (ecsInstanceRole) nicht erstellt haben und einen Cluster erstellen, der EC2 Amazon-Instances verwendet, erstellt die Konsole die Rolle in Ihrem Namen.

Wenn Sie Auto-Scaling-Gruppen verwenden, benötigen Sie außerdem zusätzliche Berechtigungen, damit die Konsole den Auto-Scaling-Gruppen Tags hinzufügen kann, wenn Sie das Cluster-Auto-Scaling-Feature verwenden.

Die folgende zusätzliche Berechtigung ist erforderlich:

  • autoscaling— Ermöglicht der Konsole, die Amazon EC2 Auto Scaling Scaling-Gruppe zu taggen. Dies ist erforderlich, wenn Sie Amazon EC2 Auto Scaling-Gruppen verwalten und die Cluster-Auto-Scaling-Funktion verwenden. Das Tag ist das von ECS Managed Tag, das die Konsole der Gruppe automatisch hinzufügt, um anzuzeigen, dass es in der Konsole erstellt wurde.

  • iam: Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien aufzulisten. Principals können auch Instance-Profile auflisten, die für Ihre EC2 Amazon-Instances verfügbar sind.

Die folgende Richtlinie enthält die erforderlichen IAM-Berechtigungen und beschränkt die Aktionen auf die ecsInstanceRole-Rolle.

Die Auto-Scaling-Berechtigungen sind nicht begrenzt.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": "autoscaling:CreateOrUpdateTags",
            "Resource": "*"
        }
    ]
}

Erforderliche Berechtigungen zum Erstellen eines Services

Wenn Sie einen Service in der Konsole erstellen, benötigen Sie zusätzliche Berechtigungen, die Ihnen Berechtigungen zur Verwaltung von CloudFormation Stacks gewähren. Die folgende zusätzliche Berechtigung ist erforderlich:

  • cloudformation: Ermöglicht Prinzipalen das Erstellen und Verwalten von CloudFormation -Stapeln. Dies ist für die Erstellung und anschließende Verwaltung von Amazon-ECS-Services mit der AWS-Managementkonsole erforderlich.

Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf Ressourcen, die in der Amazon-ECS-Konsole erstellt wurden.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack"
             ],
            "Resource": [
                "arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*"
            ]
      }
   ]
}