Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Für die ECS Amazon-Konsole sind Berechtigungen erforderlich
Nach den bewährten Methoden zur Erteilung von geringsten Privilegien können Sie die von AmazonECS_FullAccess verwaltete Richtlinie als Vorlage zum Erstellen eigener benutzerdefinierter Richtlinien verwenden. Auf diese Weise können Sie Berechtigungen zu und aus der verwalteten Richtlinie basierend auf Ihren spezifischen Anforderungen entfernen oder hinzufügen. Weitere Informationen finden Sie unter Details zu Berechtigungen.
Die ECS Amazon-Konsole wird betrieben von AWS CloudFormation und benötigt in den folgenden Fällen zusätzliche IAM Berechtigungen:
-
Erstellen eines Clusters
-
Erstellen eines Service
-
Erstellen eines Kapazitätsanbieters
Sie können eine Richtlinie für die zusätzlichen Berechtigungen erstellen und sie dann der IAM Rolle zuordnen, die Sie für den Zugriff auf die Konsole verwenden. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinien erstellen.
Für die Erstellung eines Clusters sind Berechtigungen erforderlich
Wenn Sie einen Cluster in der Konsole erstellen, benötigen Sie zusätzliche Berechtigungen, die Ihnen Berechtigungen zur Verwaltung von AWS CloudFormation Stacks gewähren.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
cloudformation: Ermöglicht Prinzipalen das Erstellen und Verwalten von AWS CloudFormation -Stapeln. Dies ist erforderlich, wenn ECS Amazon-Cluster mithilfe der Cluster erstellt AWS Management Console und anschließend verwaltet werden.
Die folgende Richtlinie enthält die erforderlichen AWS CloudFormation Berechtigungen und beschränkt die Aktionen auf Ressourcen, die in der ECS Amazon-Konsole erstellt wurden.
{ "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack" ], "Resource": [ "arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*" ] } ] }
Wenn Sie die ECS Amazon-Container-Instance-Rolle (ecsInstanceRole) nicht erstellt haben und einen Cluster erstellen, der EC2 Amazon-Instances verwendet, erstellt die Konsole die Rolle in Ihrem Namen.
Wenn Sie Auto Scaling Scaling-Gruppen verwenden, benötigen Sie außerdem zusätzliche Berechtigungen, damit die Konsole den Auto Scaling-Gruppen Tags hinzufügen kann, wenn Sie die Cluster-Auto-Scaling-Funktion verwenden.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
autoscaling— Ermöglicht der Konsole, die Amazon EC2 Auto Scaling Scaling-Gruppe zu taggen. Dies ist erforderlich, wenn Sie Amazon EC2 Auto Scaling-Gruppen verwalten und die Cluster-Auto-Scaling-Funktion verwenden. Das Tag ist das Tag ECS -managed, das die Konsole der Gruppe automatisch hinzufügt, um anzuzeigen, dass es in der Konsole erstellt wurde. -
iam— Ermöglicht Prinzipalen, IAM Rollen und die ihnen zugewiesenen Richtlinien aufzulisten. Principals können auch Instance-Profile auflisten, die für Ihre EC2 Amazon-Instances verfügbar sind.
Die folgende Richtlinie enthält die erforderlichen IAM Berechtigungen und beschränkt die Aktionen auf die ecsInstanceRole Rolle.
Die Auto-Scaling-Berechtigungen sind nicht begrenzt.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsInstanceRole" }, { "Effect": "Allow", "Action": "autoscaling:CreateOrUpdateTags", "Resource": "*" } ] }
Für die Erstellung eines Kapazitätsanbieters erforderliche Berechtigungen
Wenn Sie einen Dienst in der Konsole erstellen, benötigen Sie zusätzliche Berechtigungen, die Ihnen Berechtigungen zur Verwaltung von AWS CloudFormation Stacks gewähren. Die folgende zusätzliche Berechtigung ist erforderlich:
-
cloudformation: Ermöglicht Prinzipalen das Erstellen und Verwalten von AWS CloudFormation -Stapeln. Dies ist erforderlich, wenn ECS Amazon-Kapazitätsanbieter mithilfe dieser Kapazitätsanbieter erstellt AWS Management Console und anschließend verwaltet werden.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf Ressourcen, die in der ECS Amazon-Konsole erstellt wurden.
{ "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack" ], "Resource": [ "arn:*:cloudformation:*:*:stack/Infra-ECS-CapacityProvider-*" ] } ] }
Für die Erstellung eines Services sind Berechtigungen erforderlich
Wenn Sie einen Dienst in der Konsole erstellen, benötigen Sie zusätzliche Berechtigungen, die Ihnen Berechtigungen zur Verwaltung von AWS CloudFormation Stacks gewähren. Die folgende zusätzliche Berechtigung ist erforderlich:
-
cloudformation: Ermöglicht Prinzipalen das Erstellen und Verwalten von AWS CloudFormation -Stapeln. Dies ist erforderlich, wenn ECS Amazon-Services mithilfe dieser Dienste erstellt AWS Management Console und anschließend verwaltet werden.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf Ressourcen, die in der ECS Amazon-Konsole erstellt wurden.
{ "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack" ], "Resource": [ "arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*" ] } ] }
Berechtigungen zum Erstellen von IAM Rollen
Für die folgenden Aktionen sind zusätzliche Berechtigungen erforderlich, um den Vorgang abzuschließen:
-
Registrieren einer externen Instance – weitere Informationen finden Sie unter Amazon ECS IAM Anywhere-Rolle
-
Registrieren einer Aufgabendefinition – für weitere Informationen erhalten Sie unter Rolle bei der Ausführung von ECS IAM Amazon-Aufgaben
-
Eine EventBridge Regel zur Planung von Aufgaben erstellen — weitere Informationen finden Sie unter ECS EventBridge IAMRolle bei Amazon
Sie können diese Berechtigungen hinzufügen, indem Sie eine Rolle in erstellen, IAM bevor Sie sie in der ECS Amazon-Konsole verwenden. Wenn Sie die Rollen nicht erstellen, erstellt die ECS Amazon-Konsole sie in Ihrem Namen.
Für die Registrierung einer externen Instance in einem Cluster sind Berechtigungen erforderlich
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine externe Instance in einem Cluster registrieren und eine neue externe Instance-Rolle (escExternalInstanceRole) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
iam— Ermöglicht Prinzipalen das Erstellen und Auflisten von IAM Rollen und den zugehörigen Richtlinien. -
ssm– Ermöglicht es Prinzipalen, die externe Instance bei Systems Manager zu registrieren.
Anmerkung
Um eine vorhandene escExternalInstanceRole auswählen zu können, benötigen Sie die Berechtigungen iam:GetRole und iam:PassRole.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die escExternalInstanceRole-Rolle.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/escExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/escExternalInstanceRole" } ] }
Für die Registrierung einer Aufgabendefinition sind Berechtigungen erforderlich
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine Aufgabendefinition registrieren und eine neue Aufgabenausführungsrolle (ecsTaskExecutionRole) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
iam— Ermöglicht Prinzipalen das Erstellen und Auflisten von IAM Rollen und den zugehörigen Richtlinien.
Anmerkung
Um eine vorhandene ecsTaskExecutionRole auswählen zu können, benötigen Sie die Berechtigung iam:GetRole.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die ecsTaskExecutionRole-Rolle.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
Für die Erstellung einer EventBridge Regel für geplante Aufgaben sind Berechtigungen erforderlich
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine Aufgabe planen und eine neue Rolle der Rolle „ CloudWatch Ereignisse“ (ecsEventsRole) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
iam— Ermöglicht es Principals, IAM Rollen und die zugehörigen Richtlinien zu erstellen und aufzulisten und Amazon ECS zu ermöglichen, die Rolle an andere Dienste weiterzugeben, um die Rolle zu übernehmen.
Anmerkung
Um eine vorhandene ecsEventsRole auswählen zu können, benötigen Sie die Berechtigungen iam:GetRole und iam:PassRole.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die ecsEventsRole-Rolle.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam: PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
