AmazonECS_ FullAccess Amazon ECSInfrastructure RolePolicyForVolumes EC2ContainerServiceforEC2Rolle bei Amazon Amazon EC2 ContainerServiceEventsRole Amazon ECSTask ExecutionRolePolicy Amazon ECSService RolePolicy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity AWSApplicationAutoscalingECSServicePolicy AWSCodeDeployRoleForECS AWSCodeDeployRoleForECSLimited AmazonECSInfrastructureRolePolicyForVpcLattice Richtlinienaktualisierungen

AWS verwaltete Richtlinien für Amazon Elastic Container Service

Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter AWS Verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS -Richtlinien für Auftragsfunktionen im IAM-Leitfaden.

Amazon ECS und Amazon ECR bieten mehrere verwaltete Richtlinien und Vertrauensbeziehungen, die Sie Benutzern, Gruppen, Rollen, EC2 Amazon-Instances und Amazon ECS-Aufgaben zuordnen können, die eine unterschiedliche Kontrolle über Ressourcen und API-Operationen ermöglichen. Sie können diese Richtlinien direkt anwenden oder als Ausgangspunkt nutzen, um eigene Richtlinien zu erstellen. Weitere Informationen zu verwalteten Amazon ECR-Richtlinien finden Sie unter Verwaltete Amazon ECR-Richtlinien.

AmazonECS_ FullAccess

Sie können die AmazonECS_FullAccess-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Administratorzugriff auf Amazon ECS-Ressourcen und gewährt einer IAM-Identität (z. B. einem Benutzer, einer Gruppe oder Rolle) Zugriff auf die AWS Services, in die Amazon ECS integriert ist, um alle Amazon ECS-Funktionen nutzen zu können. Die Verwendung dieser Richtlinie ermöglicht den Zugriff auf alle Amazon-ECS-Features, die in AWS Management Console verfügbar sind.

Die Berechtigungen für diese Richtlinie finden Sie unter AmazonECS_ FullAccess in der AWS Referenz für verwaltete Richtlinien.

Amazon ECSInfrastructure RolePolicyForVolumes

Sie können die AmazonECSInfrastructureRolePolicyForVolumes verwaltete Richtlinie an Ihre IAM-Entitäten anhängen.

Die Richtlinie gewährt die Berechtigungen, die Amazon ECS benötigt, um AWS API-Aufrufe in Ihrem Namen durchzuführen. Sie können diese Richtlinie an die IAM-Rolle anhängen, die Sie mit Ihrer Volume-Konfiguration angeben, wenn Sie Amazon ECS-Aufgaben und -Services starten. Diese Rolle ermöglicht es Amazon ECS, Volumes zu verwalten, die Ihren Aufgaben zugeordnet sind. Weitere Informationen finden Sie unter Amazon ECS-Infrastruktur-IAM-Rolle.

Die Berechtigungen für diese Richtlinie finden Sie unter Amazon ECSInfrastructure RolePolicyForVolumes in der Referenz zu AWS verwalteten Richtlinien.

EC2ContainerServiceforEC2Rolle bei Amazon

Sie können die AmazonEC2ContainerServiceforEC2Role-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Administratorberechtigungen, die es Amazon ECS-Container-Instances ermöglichen, in AWS Ihrem Namen Aufrufe zu tätigen. Weitere Informationen finden Sie unter IAM-Rolle für Amazon-ECS-Container-Instance.

Amazon ECS verknüpft diese Richtlinie mit einer Servicerolle, die es Amazon ECS ermöglicht, in Ihrem Namen Aktionen gegen EC2 Amazon-Instances oder externe Instances durchzuführen.

Die Berechtigungen für diese Richtlinie finden Sie unter Amazon EC2 ContainerServicefor EC2 Role in der Referenz für AWS verwaltete Richtlinien.

Überlegungen

Beachten Sie die folgenden Empfehlungen und Überlegungen bei der Verwendung der durch AmazonEC2ContainerServiceforEC2Role verwalteten IAM-Richtlinie.

Wenn Sie den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien folgen, können Sie die von AmazonEC2ContainerServiceforEC2Role verwaltete Richtlinie modifizieren, um Ihren spezifischen Anforderungen gerecht zu werden. Wenn eine der in der verwalteten Richtlinie erteilten Berechtigungen für Ihren Anwendungsfall nicht benötigt wird, erstellen Sie eine benutzerdefinierte Richtlinie und fügen Sie nur die erforderlichen Berechtigungen hinzu. Zum Beispiel wird die UpdateContainerInstancesState-Berechtigung für die Entleerung von Spot-Instances bereitgestellt. Wenn diese Berechtigung für Ihren Anwendungsfall nicht benötigt wird, schließen Sie sie mit einer benutzerdefinierten Richtlinie aus.
Container, die auf Ihren Container-Instances ausgeführt werden, haben Zugriff auf alle Berechtigungen, die der Container-Instance-Rolle über Instance-Metadaten zur Verfügung gestellt werden. Wir empfehlen Ihnen, die Berechtigungen in Ihrer Container-Instance-Rolle auf die minimale Liste von Berechtigungen, die in der verwalteten Richtlinie AmazonEC2ContainerServiceforEC2Role bereitgestellt werden, zu begrenzen. Wenn die Container in Ihren Aufgaben besondere Berechtigungen erfordern, die nicht aufgelistet sind, empfehlen wir, für diese Aufgaben ihre eigenen IAM-Rollen bereitzustellen. Weitere Informationen finden Sie unter IAM-Rolle für Amazon ECS-Aufgaben.

Sie können Container auf der docker0-Bridge vom Zugriff auf die Berechtigungen, die der Container-Instance-Rolle bereitgestellt wurden, abhalten. Sie können dies tun, während Sie weiterhin die Berechtigungen zulassen, die von IAM-Rolle für Amazon ECS-Aufgaben durch ausführen des folgenden Befehlsiptables auf Ihren Container-Instances bereitgestellt werden. Container können Instance-Metadaten mit dieser Regel nicht abfragen. Dieser Befehl setzt die Standard-Docker-Bridge-Konfiguration voraus und funktioniert nicht für Container, die den host-Netzwerkmodus verwenden. Weitere Informationen finden Sie unter Netzwerkmodus.
```
sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
```
Sie müssen diese iptables-Regel auf Ihrer Container-Instance speichern, damit sie einen Neustart übersteht. Verwenden Sie für die Amazon-ECS-optimierte AMI den folgenden Befehl. Informationen über andere Betriebssysteme finden Sie in der Dokumentation für dieses Betriebssystem.
- Für das Amazon-ECS-optimierte Amazon Linux 2-AMI:
```
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
```
- Für das Amazon-ECS-optimierte Amazon Linux AMI:
```
sudo service iptables save
```

Amazon EC2 ContainerServiceEventsRole

Sie können die AmazonEC2ContainerServiceEventsRole-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Berechtigungen, die es Amazon EventBridge (ehemals CloudWatch Events) ermöglichen, Aufgaben in Ihrem Namen auszuführen. Diese Richtlinie kann der IAM-Rolle zugeordnet werden, die beim Erstellen geplanter Tasks angegeben wird. Weitere Informationen finden Sie unter Amazon ECS EventBridge IAM-Rolle.

Die Berechtigungen für diese Richtlinie finden Sie unter Amazon EC2 ContainerServiceEventsRole in der Referenz zu AWS verwalteten Richtlinien.

Amazon ECSTask ExecutionRolePolicy

Die AmazonECSTaskExecutionRolePolicy verwaltete IAM-Richtlinie gewährt die Berechtigungen, die der Amazon ECS-Container-Agent und die AWS Fargate Container-Agenten benötigen, um AWS API-Aufrufe in Ihrem Namen durchzuführen. Diese Richtlinie kann Ihrer IAM-Rolle zur Aufgabenausführung hinzugefügt werden. Weitere Informationen finden Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung.

Die Berechtigungen für diese Richtlinie finden Sie unter Amazon ECSTask ExecutionRolePolicy in der Referenz zu AWS verwalteten Richtlinien.

Amazon ECSService RolePolicy

Die AmazonECSServiceRolePolicy-verwaltete IAM-Richtlinie ermöglicht es Amazon Elastic Container Service, Ihren Cluster zu verwalten. Diese Richtlinie kann Ihrer IAM-Rolle zur Aufgabenausführung hinzugefügt werden. Weitere Informationen finden Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung.

Die Berechtigungen für diese Richtlinie finden Sie unter Amazon ECSService RolePolicy in der Referenz zu AWS verwalteten Richtlinien.

`AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`

Sie können die AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity-Richtlinie auch Ihren IAM-Entitäten anfügen. Diese Richtlinie gewährt Administratorzugriff auf Secrets Manager und andere AWS Services AWS Private Certificate Authority, die zur Verwaltung der TLS-Funktionen von Amazon ECS Service Connect in Ihrem Namen erforderlich sind.

Die Berechtigungen für diese Richtlinie finden Sie unter Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity in der Referenz zu AWS verwalteten Richtlinien.

`AWSApplicationAutoscalingECSServicePolicy`

Sie können AWSApplicationAutoscalingECSServicePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer serviceverknüpften Rolle zugeordnet, die die Application Auto Scaling in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für Application Auto Scaling.

Die Berechtigungen für diese Richtlinie finden Sie unter AWSApplicationECSServiceAutoscaling-Richtlinie in der Referenz zu AWS verwalteten Richtlinien.

`AWSCodeDeployRoleForECS`

Sie können AWSCodeDeployRoleForECS nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer dienstbezogenen Rolle zugeordnet, mit der Sie Aktionen CodeDeploy in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter Erstellen einer Servicerolle für CodeDeploy im AWS CodeDeploy Benutzerhandbuch.

Die Berechtigungen für diese Richtlinie finden Sie unter AWSCodeDeployRoleForECS in der Referenz zu AWS verwalteten Richtlinien.

`AWSCodeDeployRoleForECSLimited`

Sie können AWSCodeDeployRoleForECSLimited nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer dienstbezogenen Rolle zugeordnet, mit der CodeDeploy Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter Erstellen einer Servicerolle für CodeDeploy im AWS CodeDeploy Benutzerhandbuch.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter AWSCodeDeployRoleForECSLimited in der Referenz zu von AWS verwalteten Richtlinien.

`AmazonECSInfrastructureRolePolicyForVpcLattice`

Sie können die AmazonECSInfrastructureRolePolicyForVpcLattice-Richtlinie auch Ihren IAM-Entitäten anfügen. Diese Richtlinie bietet Zugriff auf andere AWS Serviceressourcen, die für die Verwaltung der VPC Lattice-Funktion in Amazon ECS-Workloads in Ihrem Namen erforderlich sind.

Die Berechtigungen für diese Richtlinie finden Sie unter Amazon ECSInfrastructure RolePolicyForVpcLattice in der Referenz zu AWS verwalteten Richtlinien.

Bietet Zugriff auf andere AWS Serviceressourcen, die für die Verwaltung der VPC Lattice-Funktion in Amazon ECS-Workloads in Ihrem Namen erforderlich sind.

Amazon ECS-Updates für AWS verwaltete Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon ECS an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Amazon-ECS-Dokumentverlauf-Seite.

Änderung	Beschreibung	Datum
Neues Amazon hinzufügen ECSInfrastructure RolePolicyForVpcLattice	Bietet Zugriff auf andere AWS Serviceressourcen, die für die Verwaltung der VPC Lattice-Funktion in Amazon ECS-Workloads in Ihrem Namen erforderlich sind.	18. November 2024
Berechtigungen zu Amazon hinzufügen ECSInfrastructure RolePolicyForVolumes	Die `AmazonECSInfrastructureRolePolicyForVolumes` Richtlinie wurde aktualisiert, sodass Kunden aus einem Snapshot ein Amazon EBS-Volume erstellen können.	10. Oktober 2024
Es wurden Berechtigungen hinzugefügt zu AmazonECS_ FullAccess	Die `AmazonECS_FullAccess` Richtlinie wurde aktualisiert, um `iam:PassRole` Berechtigungen für IAM-Rollen für eine Rolle mit dem Namen `ecsInfrastructureRole` hinzuzufügen. Dies ist die von der erstellte Standard-IAM-Rolle AWS Management Console , die als ECS-Infrastrukturrolle verwendet werden soll, die es Amazon ECS ermöglicht, Amazon EBS-Volumes zu verwalten, die an ECS-Aufgaben angehängt sind.	13. August 2024
Neue ECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurityAmazon-Richtlinie hinzufügen	Es wurde eine neue ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity Amazon-Richtlinie hinzugefügt, die administrativen Zugriff auf AWS KMS AWS Private Certificate Authority, Secrets Manager bietet und dafür sorgt, dass die TLS-Funktionen von Amazon ECS Service Connect ordnungsgemäß funktionieren.	22. Januar 2024
Neue Richtlinie hinzufügen Amazon ECSInfrastructure RolePolicyForVolumes	Die `AmazonECSInfrastructureRolePolicyForVolumes` Richtlinie wurde hinzugefügt. Die Richtlinie gewährt die Berechtigungen, die Amazon ECS benötigt, um AWS API-Aufrufe zur Verwaltung von Amazon EBS-Volumes im Zusammenhang mit Amazon ECS-Workloads durchzuführen.	11. Januar 2024
Berechtigungen zu Amazon hinzufügen ECSService RolePolicy	Die `AmazonECSServiceRolePolicy` verwaltete IAM-Richtlinie wurde mit neuen `autoscaling` und `autoscaling-plans` zusätzlichen `events` Berechtigungen aktualisiert.	4. Dezember 2023
Berechtigungen zu Amazon hinzufügen EC2 ContainerServiceEventsRole	Die `AmazonECSServiceRolePolicy` verwaltete IAM-Richtlinie wurde aktualisiert, um den Zugriff auf den AWS Cloud Map `DiscoverInstancesRevision` API-Vorgang zu ermöglichen.	04. Oktober 2023
Berechtigungen zu Amazon EC2 ContainerServicefor EC2 Role hinzufügen	Die `AmazonEC2ContainerServiceforEC2Role` Richtlinie wurde dahingehend geändert, dass die `ecs:TagResource` Berechtigung hinzugefügt wurde. Dazu gehört auch eine Bedingung, die die Berechtigung nur auf neu erstellte Cluster und registrierte Container-Instances beschränkt.	6. März 2023
Berechtigungen zu AmazonECS_ FullAccess hinzufügen	Die `AmazonECS_FullAccess` Richtlinie wurde dahingehend geändert, dass die `elasticloadbalancing:AddTags` Berechtigung hinzugefügt wurde. Dazu gehört auch eine Bedingung, die die Berechtigung nur auf neu erstellte Load Balancer, Zielgruppen, Regeln und neu erstellte Listener beschränkt. Diese Berechtigung erlaubt nicht das Hinzufügen von Tags zu bereits erstellten Elastic-Load-Balancing-Ressourcen.	4. Januar 2023
Amazon ECS hat mit der Verfolgung von Änderungen begonnen	Amazon ECS begann, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen.	8. Juni 2021

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

AWS verwaltete Richtlinien, die für Amazon ECS schrittweise eingestellt werden