Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erforderliche Berechtigungen für die Amazon-ECS-Konsole
Nach den bewährten Methoden zur Erteilung von geringsten Privilegien können Sie die von AmazonECS_FullAccess verwaltete Richtlinie als Vorlage zum Erstellen eigener benutzerdefinierter Richtlinien verwenden. Auf diese Weise können Sie Berechtigungen zu und aus der verwalteten Richtlinie basierend auf Ihren spezifischen Anforderungen entfernen oder hinzufügen. Weitere Informationen finden Sie unter AmazonECS_ FullAccess in der AWS Managed Policy Reference.
Berechtigungen für die Erstellung von IAM-Rollen
Für die folgenden Aktionen sind zusätzliche Berechtigungen erforderlich, um den Vorgang abzuschließen:
-
Registrieren einer externen Instance – weitere Informationen finden Sie unter IAM-Rolle in Amazon ECS Anywhere
-
Registrieren einer Aufgabendefinition – für weitere Informationen erhalten Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung
-
Eine EventBridge Regel zur Planung von Aufgaben erstellen — weitere Informationen finden Sie unter Amazon ECS EventBridge IAM-Rolle
Sie können diese Berechtigungen hinzufügen, indem Sie eine Rolle in IAM erstellen, bevor Sie sie in der Amazon-ECS-Konsole verwenden. Wenn Sie die Rollen nicht erstellen, erstellt die Amazon-ECS-Konsole sie in Ihrem Namen.
Erforderliche Berechtigungen für die Registrierung einer externen Instanz in einem Cluster
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine externe Instance in einem Cluster registrieren und eine neue externe Instance-Rolle (ecsExternalInstanceRole) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
iam– Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien zu erstellen und aufzulisten. -
ssm– Ermöglicht es Prinzipalen, die externe Instance bei Systems Manager zu registrieren.
Anmerkung
Um eine vorhandene ecsExternalInstanceRole auswählen zu können, benötigen Sie die Berechtigungen iam:GetRole und iam:PassRole.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die ecsExternalInstanceRole-Rolle.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" } ] }
Für die Registrierung einer Aufgabendefinition sind Berechtigungen erforderlich
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine Aufgabendefinition registrieren und eine neue Aufgabenausführungsrolle (ecsTaskExecutionRole) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
iam– Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien zu erstellen und aufzulisten.
Anmerkung
Um eine vorhandene ecsTaskExecutionRole auswählen zu können, benötigen Sie die Berechtigung iam:GetRole.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die ecsTaskExecutionRole-Rolle.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
Für die Erstellung einer EventBridge Regel für geplante Aufgaben sind Berechtigungen erforderlich
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine Aufgabe planen und eine neue Rolle der Rolle „ CloudWatch Ereignisse“ (ecsEventsRole) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
iam– Ermöglicht es Prinzipalen, IAM-Rollen und die zugehörigen Richtlinien zu erstellen und aufzulisten und es Amazon ECS zu ermöglichen, die Rolle an andere Services weiterzugeben, damit diese Rolle übernommen wird.
Anmerkung
Um eine vorhandene ecsEventsRole auswählen zu können, benötigen Sie die Berechtigungen iam:GetRole und iam:PassRole.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die ecsEventsRole-Rolle.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam: PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
Zum Anzeigen von Dienstbereitstellungen sind Berechtigungen erforderlich
Wenn Sie sich an die bewährte Methode zur Gewährung der geringsten Rechte halten, müssen Sie zusätzliche Berechtigungen hinzufügen, um Dienstbereitstellungen in der Konsole anzeigen zu können.
Sie benötigen Zugriff auf die folgenden Aktionen:
ListServiceDeployments
DescribeServiceDeployments
DescribeServiceRevisions
Sie benötigen Zugriff auf die folgenden Ressourcen:
Service
Bereitstellung von Diensten
Überarbeitung des Dienstes
Die folgende Beispielrichtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf einen bestimmten Dienst.
Ersetzen Sie das accountcluster-name, und service-name durch Ihre Werte.
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ListServiceDeployments", "ecs:DescribeServiceDeployments", "ecs:DescribeServiceRevisions" ], "Resource": [ "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name", "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*", "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*" ] } ] }
