Migration zur von AmazonECS_FullAccess verwalteten Richtlinie - Amazon Elastic Container Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Migration zur von AmazonECS_FullAccess verwalteten Richtlinie

Die von AmazonEC2ContainerServiceFullAccess verwaltete IAM-Richtlinie wurde am 29 .Januar 2021 als Reaktion auf eine Sicherheitsfeststellung mit der iam:passRole-Berechtigung ausgemustert. Diese Berechtigung gewährt den Zugriff auf alle Ressourcen, einschließlich der Anmeldeinformationen für Rollen im Konto. Da die Richtlinie nun schrittweise beendet ist, können Sie die Richtlinie keinen neuen Gruppen, Benutzern oder Rollen anfügen. Alle Gruppen, Benutzer oder Rollen, denen die Richtlinie bereits zugeordnet ist, können sie weiterhin verwenden. Wir empfehlen jedoch, dass Sie Ihre Gruppen, Benutzer oder Rollen so aktualisieren, dass stattdessen die von AmazonECS_FullAccess verwaltete Richtlinie verwendet wird.

Die Berechtigungen, die von der AmazonECS_FullAccess-Richtlinie gewährt werden, enthalten die vollständige Liste der Berechtigungen, die für die Verwendung von ECS als Administrator erforderlich sind. Wenn Sie derzeit Berechtigungen verwenden, die durch die AmazonEC2ContainerServiceFullAccess Richtlinie gewährt wurden und nicht in der AmazonECS_FullAccess Richtlinie enthalten sind, können Sie sie zu einer Inline-Richtlinienerklärung hinzufügen. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für Amazon Elastic Container Service.

Verwenden Sie die folgenden Schritte, um festzustellen, ob Sie über Gruppen, Benutzer oder Rollen verfügen, die derzeit die AmazonEC2ContainerServiceFullAccess-verwaltete IAM-Richtlinie verwenden. Aktualisieren Sie sie dann, um die frühere Richtlinie zu trennen, und die AmazonECS_FullAccess-Richtlinie anzufügen.

Um eine Gruppe, einen Benutzer oder eine Rolle zur Verwendung der FullAccess AmazonECS_-Richtlinie () zu aktualisieren AWS Management Console

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Richtlinien und suchen sie nach und wählen Sie die AmazonEC2ContainerServiceFullAccess-Richtlinie.

  3. Wählen Sie die Registerkarte Verwendung von Richtlinien, die jede IAM-Rolle anzeigt, die derzeit diese Richtlinie verwendet.

  4. Wählen Sie für jede IAM-Rolle, die derzeit die AmazonEC2ContainerServiceFullAccess Richtlinie verwendet, die Rolle aus und führen Sie die folgenden Schritte aus, um die auslaufende Richtlinie zu trennen und die Richtlinie anzuhängen. AmazonECS_FullAccess

    1. Wählen Sie auf der Registerkarte Berechtigungen das X neben der EC2ContainerServiceFullAccessAmazon-Richtlinie aus.

    2. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

    3. Wählen Sie Bestehende Richtlinien direkt anhängen, suchen Sie nach der FullAccessAmazonECS_-Richtlinie, wählen Sie sie aus und wählen Sie dann Weiter: Überprüfen aus.

    4. Prüfen Sie die Änderungen und wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

    5. Wiederholen Sie diese Schritte für jede Gruppe, jeden Benutzer oder jede Rolle, die die AmazonEC2ContainerServiceFullAccess-Richtlinie verwendet.

So aktualisieren Sie eine Gruppe, einen Benutzer oder eine Rolle für die Verwendung der AmazonECS_FullAccess-Richtlinie (AWS CLI)

  1. Verwenden der generate-service-last-accessed-detailsBefehl zum Generieren eines Berichts mit Informationen darüber, wann die auslaufende Richtlinie zuletzt angewendet wurde.

    aws iam generate-service-last-accessed-details \
     --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    Beispielausgabe:

    {
    "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
}

  2. Verwenden Sie die Job-ID aus der vorherigen Ausgabe mit dem get-service-last-accessed-detailsBefehl, um den Bericht über den Dienst abzurufen, auf den zuletzt zugegriffen wurde. In diesem Bericht wird der Amazon-Ressourcenname (ARN) der IAM-Entitäten angezeigt, die die auslaufende Richtlinie zuletzt verwendet haben.

    aws iam get-service-last-accessed-details \
      --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE

  3. Verwenden Sie einen der folgenden Befehle, um die AmazonEC2ContainerServiceFullAccess-Richtlinie von einer Gruppe, einem Benutzer oder einer Rolle zu trennen.

  4. Verwenden Sie einen der folgenden Befehle, um die AmazonECS_FullAccess-Richtlinie einer Gruppe, einem Benutzer oder einer Rolle anzufügen.