Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS verwaltete Richtlinien für Amazon Elastic Container Service
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um vom IAMKunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die Berechtigungen gewähren, die es benötigt. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und eine Beschreibung der Richtlinien für Jobfunktionen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien für Jobfunktionen.
Amazon ECS und Amazon ECR bieten verschiedene verwaltete Richtlinien und Vertrauensbeziehungen, die Sie Benutzern, Gruppen, Rollen, EC2 Amazon-Instances und ECS Amazon-Aufgaben zuordnen können, sodass Sie Ressourcen und API Abläufe unterschiedlich steuern können. Sie können diese Richtlinien direkt anwenden oder als Ausgangspunkt nutzen, um eigene Richtlinien zu erstellen. Weitere Informationen zu den von Amazon ECR verwalteten Richtlinien finden Sie unter Von Amazon ECR verwaltete Richtlinien.
ECSAmazonas_ FullAccess
Sie können die AmazonECS_FullAccess Richtlinie an Ihre IAM Identitäten anhängen.
Diese Richtlinie gewährt Administratorzugriff auf ECS Amazon-Ressourcen und gewährt einer IAM Identität (z. B. einem Benutzer, einer Gruppe oder Rolle) Zugriff auf die AWS Dienste, in die Amazon integriert ECS ist, um alle ECS Amazon-Funktionen nutzen zu können. Die Verwendung dieser Richtlinie ermöglicht den Zugriff auf alle ECS Amazon-Funktionen, die in der verfügbar sind AWS Management Console.
Details zu Berechtigungen
Die AmazonECS_FullAccess verwaltete IAM Richtlinie umfasst die folgenden Berechtigungen. Nach den bewährten Methoden zur Erteilung von geringsten Privilegien können Sie die von AmazonECS_FullAccess verwaltete Richtlinie als Vorlage zum Erstellen eigener benutzerdefinierter Richtlinien verwenden. Auf diese Weise können Sie Berechtigungen zu und aus der verwalteten Richtlinie basierend auf Ihren spezifischen Anforderungen entfernen oder hinzufügen.
-
ecs— Ermöglicht Principals vollen Zugriff auf alle ECS API Amazon-Operationen. -
application-autoscaling: Ermöglicht es Prinzipalen, Application Auto Scaling Ressourcen zu erstellen, zu beschreiben und zu verwalten. Dies ist erforderlich, wenn Sie Service Auto Scaling für Ihre ECS Amazon-Services aktivieren. -
appmesh: Ermöglicht es Prinzipalen, App Mesh-Service-Netze und virtuelle Knoten aufzulisten und virtuelle App-Mesh-Knoten zu beschreiben. Dies ist erforderlich, wenn Sie Ihre ECS Amazon-Dienste mit App Mesh integrieren. -
autoscaling— Ermöglicht Prinzipalen das Erstellen, Verwalten und Beschreiben von Amazon EC2 Auto Scaling Scaling-Ressourcen. Dies ist erforderlich, wenn Sie Amazon EC2 Auto Scaling Scaling-Gruppen verwalten und die Cluster-Auto-Scaling-Funktion verwenden. -
cloudformation— Ermöglicht Prinzipalen das Erstellen und Verwalten von AWS CloudFormation Stacks. Dies ist erforderlich, wenn ECS Amazon-Cluster mithilfe der Cluster erstellt AWS Management Console und anschließend verwaltet werden. -
cloudwatch— Ermöglicht es Prinzipalen, CloudWatch Amazon-Alarme zu erstellen, zu verwalten und zu beschreiben. -
codedeploy— Ermöglicht es Prinzipalen, Anwendungsbereitstellungen zu erstellen und zu verwalten und deren Konfigurationen, Versionen und Bereitstellungsziele einzusehen. -
sns— Ermöglicht Schulleitern, eine Liste mit SNS Amazon-Themen einzusehen. -
lambda: Ermöglicht es Prinzipalen, eine Liste von AWS Lambda -Funktionen und deren versionsspezifischen Konfigurationen anzuzeigen. -
ec2— Ermöglicht Principals, EC2 Amazon-Instances auszuführen und Routen, Routing-Tabellen, Internet-Gateways, Startgruppen, Sicherheitsgruppen, virtuelle private Clouds, Spot-Flotten und Subnetze zu erstellen und zu verwalten. -
elasticloadbalancing: Ermöglicht Prinzipalen das Erstellen, Beschreiben und Löschen von Elastic Load Balancing-Lastenausgleichsdiensten. Prinzipale können auch Tags zu neu erstellten Zielgruppen, Listener und Listener-Regeln für Load Balancer hinzufügen. -
events— Ermöglicht Prinzipalen das Erstellen, Verwalten und Löschen von EventBridge Amazon-Regeln und deren Zielen. -
iam— Ermöglicht es Prinzipalen, IAM Rollen und die ihnen zugewiesenen Richtlinien aufzulisten. Principals können Rollen an Amazon übergeben, um die Verwaltung von ECS EBS Amazon-Volumes zu ECS delegieren, die mit Aufgaben verknüpft sind. Principals können auch Instance-Profile auflisten, die für Ihre EC2 Amazon-Instances verfügbar sind. -
logs— Ermöglicht Prinzipalen das Erstellen und Beschreiben von Amazon CloudWatch Logs-Protokollgruppen. Prinzipale können auch Protokollereignisse für diese Protokollgruppen auflisten. -
route53: Ermöglicht Prinzipalen das Erstellen, Verwalten und Löschen von gehosteten Amazon Route 53-Zonen. Prinzipale können auch die Konfiguration und Informationen zur Amazon Route 53 Integritätsprüfung anzeigen. Weitere Informationen über gehostete Zonen finden Sie unter Arbeiten mit gehosteten Zonen. -
servicediscovery— Ermöglicht Prinzipalen, AWS Cloud Map Dienste zu erstellen, zu verwalten und zu löschen und private DNS Namespaces zu erstellen.
Es folgt eine Beispielrichtlinie AmazonECS_FullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ECSIntegrationsManagementPolicy", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget", "appmesh:DescribeVirtualGateway", "appmesh:DescribeVirtualNode", "appmesh:ListMeshes", "appmesh:ListVirtualGateways", "appmesh:ListVirtualNodes", "autoscaling:CreateAutoScalingGroup", "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:DeleteLaunchConfiguration", "autoscaling:Describe*", "autoscaling:UpdateAutoScalingGroup", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricStatistics", "cloudwatch:PutMetricAlarm", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetApplications", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:ContinueDeployment", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetApplicationRevision", "codedeploy:GetDeployment", "codedeploy:GetDeploymentConfig", "codedeploy:GetDeploymentGroup", "codedeploy:GetDeploymentTarget", "codedeploy:ListApplicationRevisions", "codedeploy:ListApplications", "codedeploy:ListDeploymentConfigs", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:ListDeploymentTargets", "codedeploy:RegisterApplicationRevision", "codedeploy:StopDeployment", "ec2:AssociateRouteTable", "ec2:AttachInternetGateway", "ec2:AuthorizeSecurityGroupIngress", "ec2:CancelSpotFleetRequests", "ec2:CreateInternetGateway", "ec2:CreateLaunchTemplate", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:DeleteLaunchTemplate", "ec2:DeleteSubnet", "ec2:DeleteVpc", "ec2:Describe*", "ec2:DetachInternetGateway", "ec2:DisassociateRouteTable", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:RequestSpotFleet", "ec2:RunInstances", "ecs:*", "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:CreateListener", "elasticloadbalancing:CreateLoadBalancer", "elasticloadbalancing:CreateRule", "elasticloadbalancing:CreateTargetGroup", "elasticloadbalancing:DeleteListener", "elasticloadbalancing:DeleteLoadBalancer", "elasticloadbalancing:DeleteRule", "elasticloadbalancing:DeleteTargetGroup", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeTargetGroups", "events:DeleteRule", "events:DescribeRule", "events:ListRuleNamesByTarget", "events:ListTargetsByRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets", "fsx:DescribeFileSystems", "iam:ListAttachedRolePolicies", "iam:ListInstanceProfiles", "iam:ListRoles", "lambda:ListFunctions", "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:FilterLogEvents", "route53:CreateHostedZone", "route53:DeleteHostedZone", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHostedZonesByName", "servicediscovery:CreatePrivateDnsNamespace", "servicediscovery:CreateService", "servicediscovery:DeleteService", "servicediscovery:GetNamespace", "servicediscovery:GetOperation", "servicediscovery:GetService", "servicediscovery:ListNamespaces", "servicediscovery:ListServices", "servicediscovery:UpdateService", "sns:ListTopics" ], "Resource": [ "*" ] }, { "Sid": "SSMPolicy", "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:GetParameters", "ssm:GetParametersByPath" ], "Resource": "arn:aws:ssm:*:*:parameter/aws/service/ecs*" }, { "Sid": "ManagedCloudformationResourcesCleanupPolicy", "Effect": "Allow", "Action": [ "ec2:DeleteInternetGateway", "ec2:DeleteRoute", "ec2:DeleteRouteTable", "ec2:DeleteSecurityGroup" ], "Resource": [ "*" ], "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "EC2ContainerService-*" } } }, { "Sid": "TasksPassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }, { "Sid": "InfrastructurePassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsInfrastructureRole" ], "Condition": { "StringEquals": { "iam:PassedToService": "ecs.amazonaws.com" } } }, { "Sid": "InstancePassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsInstanceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn" ] } } }, { "Sid": "AutoScalingPassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsAutoscaleRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "application-autoscaling.amazonaws.com", "application-autoscaling.amazonaws.com.cn" ] } } }, { "Sid": "ServiceLinkedRoleCreationPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "ecs.amazonaws.com", "autoscaling.amazonaws.com", "ecs.application-autoscaling.amazonaws.com", "spot.amazonaws.com", "spotfleet.amazonaws.com" ] } } }, { "Sid": "ELBTaggingPolicy", "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "elasticloadbalancing:CreateAction": [ "CreateTargetGroup", "CreateRule", "CreateListener", "CreateLoadBalancer" ] } } } ] }
Ein mazonECSInfrastructure RolePolicyForVolumes
Die AmazonECSInfrastructureRolePolicyForVolumes verwaltete IAM Richtlinie gewährt die Berechtigungen, die Amazon benötigtECS, um in Ihrem Namen AWS API Anrufe zu tätigen. Sie können diese Richtlinie an die IAM Rolle anhängen, die Sie mit Ihrer Volume-Konfiguration angeben, wenn Sie ECS Amazon-Aufgaben und -Services starten. Diese Rolle ermöglicht es AmazonECS, die mit Ihren Aufgaben verbundenen Volumen zu verwalten. Weitere Informationen finden Sie unter ECSIAMAmazon-Infrastrukturrolle.
Details zu Berechtigungen
Die AmazonECSInfrastructureRolePolicyForVolumes verwaltete IAM Richtlinie umfasst die folgenden Berechtigungen. Sie können die AmazonECSInfrastructureRolePolicyForVolumes verwaltete Richtlinie als Vorlage für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinie verwenden, die nur die von Ihnen benötigten Berechtigungen enthält, indem Sie die standardmäßigen Sicherheitsempfehlungen zur Gewährung der geringsten Rechte verwenden.
-
ec2:CreateVolume— Ermöglicht es einem Principal, ein EBS Amazon-Volume genau dann zu erstellen, wenn es mit denAmazonECSManagedTagsAmazonECSCreatedund gekennzeichnet ist. Diese Genehmigung ist erforderlich, um EBS Amazon-Volumes zu erstellen, die ECS Amazon-Aufgaben zugeordnet sind, und um die Anzahl der Berechtigungen, die Amazon ECS durch diese Richtlinie gewährt werden, zu minimieren. -
ec2:CreateTags— Ermöglicht einem Principal das Hinzufügen von Tags zu einem EBS Amazon-Volume als Teil vonec2:CreateVolume. Diese Genehmigung wird von Amazon benötigtECS, um von Kunden angegebene Tags zu EBS Amazon-Bänden hinzuzufügen, die in Ihrem Namen erstellt wurden. -
ec2:AttachVolume— Ermöglicht einem Principal, ein EBS Amazon-Volume an eine EC2 Amazon-Instance anzuhängen. Diese Genehmigung wird von Amazon benötigtECS, um EBS Amazon-Volumes an die EC2 Amazon-Instance anzuhängen, die die zugehörige ECS Amazon-Aufgabe hostet. -
ec2:DescribeVolume— Ermöglicht es einem Principal, Informationen über EBS Amazon-Volumes abzurufen. Diese Genehmigung ist erforderlich, um den Lebenszyklus von EBS Amazon-Volumes zu verwalten. -
ec2:DescribeAvailabilityZones— Ermöglicht es einem Principal, Informationen über Availability Zones in Ihrem Konto abzurufen. Dies ist erforderlich, um den Lebenszyklus von EBS Volumes zu verwalten. -
ec2:DetachVolume— Ermöglicht einem Principal, ein EBS Amazon-Volume von einer EC2 Amazon-Instance zu trennen. Diese Berechtigung wird von Amazon benötigtECS, um das EBS Amazon-Volume von der EC2 Amazon-Instance zu trennen, die die zugehörige ECS Amazon-Aufgabe hostet, wenn die Aufgabe beendet wird. -
ec2:DeleteVolume— Ermöglicht einem Principal, ein EBS Amazon-Volume zu löschen. Diese Berechtigung wird von Amazon benötigtECS, um EBS Amazon-Volumes zu löschen, die von der ECS Amazon-Aufgabe nicht mehr verwendet werden. -
ec2:DeleteTags— Ermöglicht einem Principal, dasAmazonECSManagedTag aus einem EBS Amazon-Volume zu löschen. Diese Genehmigung wird von Amazon benötigtECS, um den Zugriff auf ein EBS Amazon-Volume zu entfernen, nachdem es nicht mehr mit einem ECS Amazon-Workload verknüpft ist. Dies gilt nur, wenn ein EBS Amazon-Volume nach dem Herunterfahren der Aufgabe nicht gelöscht wird.
Es folgt eine Beispielrichtlinie AmazonECSInfrastructureRolePolicyForVolumes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateEBSManagedVolume", "Effect": "Allow", "Action": "ec2:CreateVolume", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true" } } }, { "Sid": "TagOnCreateVolume", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "ec2:CreateAction": "CreateVolume", "aws:RequestTag/AmazonECSManaged": "true" } } }, { "Sid": "DescribeVolumesForLifecycle", "Effect": "Allow", "Action": [ "ec2:DescribeVolumes", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Sid": "ManageEBSVolumeLifecycle", "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } }, { "Sid": "ManageVolumeAttachmentsForEC2", "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*" }, { "Sid": "DeleteEBSManagedVolume", "Effect": "Allow", "Action": "ec2:DeleteVolume", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:ResourceTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } } ] }
Amazon EC2ContainerServiceforEC2Role
Amazon ECS verknüpft diese Richtlinie mit einer Servicerolle, die es Amazon ECS ermöglicht, in Ihrem Namen Aktionen gegen EC2 Amazon-Instances oder externe Instances durchzuführen.
Diese Richtlinie gewährt Administratorberechtigungen, die es ECS Amazon-Container-Instances ermöglichen, in AWS Ihrem Namen Aufrufe zu tätigen. Weitere Informationen finden Sie unter ECSIAMAmazon-Container-Instance-Rolle.
Überlegungen
Bei der Verwendung der AmazonEC2ContainerServiceforEC2Role verwalteten IAM Richtlinie sollten Sie die folgenden Empfehlungen und Überlegungen berücksichtigen.
-
Wenn Sie den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien folgen, können Sie die von
AmazonEC2ContainerServiceforEC2Roleverwaltete Richtlinie modifizieren, um Ihren spezifischen Anforderungen gerecht zu werden. Wenn eine der in der verwalteten Richtlinie erteilten Berechtigungen für Ihren Anwendungsfall nicht benötigt wird, erstellen Sie eine benutzerdefinierte Richtlinie und fügen Sie nur die erforderlichen Berechtigungen hinzu. Zum Beispiel wird dieUpdateContainerInstancesState-Berechtigung für die Entleerung von Spot-Instances bereitgestellt. Wenn diese Berechtigung für Ihren Anwendungsfall nicht benötigt wird, schließen Sie sie mit einer benutzerdefinierten Richtlinie aus. Weitere Informationen finden Sie unter Details zu Berechtigungen. -
Container, die auf Ihren Container-Instances ausgeführt werden, haben Zugriff auf alle Berechtigungen, die der Container-Instance-Rolle über Instance-Metadaten zur Verfügung gestellt werden. Wir empfehlen Ihnen, die Berechtigungen in Ihrer Container-Instance-Rolle auf die minimale Liste von Berechtigungen, die in der verwalteten Richtlinie
AmazonEC2ContainerServiceforEC2Rolebereitgestellt werden, zu begrenzen. Wenn die Container in Ihren Aufgaben zusätzliche Berechtigungen benötigen, die nicht aufgeführt sind, empfehlen wir, diesen Aufgaben eigene IAM Rollen zuzuweisen. Weitere Informationen finden Sie unter ECSIAMAmazon-Aufgabenrolle.Sie können Container auf der
docker0-Bridge vom Zugriff auf die Berechtigungen, die der Container-Instance-Rolle bereitgestellt wurden, abhalten. Sie können dies tun, während Sie weiterhin die Berechtigungen zulassen, die von ECSIAMAmazon-Aufgabenrolle durch ausführen des folgenden Befehlsiptables auf Ihren Container-Instances bereitgestellt werden. Container können Instance-Metadaten mit dieser Regel nicht abfragen. Dieser Befehl setzt die Standard-Docker-Bridge-Konfiguration voraus und funktioniert nicht für Container, die denhost-Netzwerkmodus verwenden. Weitere Informationen finden Sie unter Netzwerkmodus.sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROPSie müssen diese iptables-Regel auf Ihrer Container-Instance speichern, damit sie einen Neustart übersteht. Verwenden Sie für Amazon ECS AMI -optimized den folgenden Befehl. Informationen über andere Betriebssysteme finden Sie in der Dokumentation für dieses Betriebssystem.
-
Für das ECS Amazon-optimierte Amazon Linux 2: AMI
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables -
Für das ECS Amazon-optimierte Amazon LinuxAMI:
sudo service iptables save
-
Details zu Berechtigungen
Die AmazonEC2ContainerServiceforEC2Role verwaltete IAM Richtlinie umfasst die folgenden Berechtigungen. Nach den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien kann die von AmazonEC2ContainerServiceforEC2Role verwaltete Richtlinie als Leitfaden verwendet werden. Wenn Sie eine der in der verwalteten Richtlinie erteilten Berechtigungen für Ihren Anwendungsfall nicht benötigen, erstellen Sie eine benutzerdefinierte Richtlinie und fügen Sie nur die erforderlichen Berechtigungen hinzu.
-
ec2:DescribeTags— Ermöglicht einem Principal, die Tags zu beschreiben, die einer EC2 Amazon-Instance zugeordnet sind. Diese Berechtigung wird vom ECS Amazon-Container-Agenten verwendet, um die Weitergabe von Ressourcen-Tags zu unterstützen. Weitere Informationen finden Sie unter So werden Ressourcen markiert. -
ecs:CreateCluster— Ermöglicht einem Principal, einen ECS Amazon-Cluster zu erstellen. Diese Berechtigung wird vom ECS Amazon-Container-Agenten verwendet, um einendefaultCluster zu erstellen, falls noch keiner vorhanden ist. -
ecs:DeregisterContainerInstance— Ermöglicht einem Principal, eine ECS Amazon-Container-Instance von einem Cluster abzumelden. Der ECS Amazon-Container-Agent ruft diesen API Vorgang nicht auf, aber diese Berechtigung bleibt bestehen, um die Abwärtskompatibilität sicherzustellen. -
ecs:DiscoverPollEndpoint— Diese Aktion gibt Endpunkte zurück, die der ECS Amazon-Container-Agent verwendet, um nach Updates zu fragen. -
ecs:Poll— Ermöglicht dem ECS Amazon-Container-Agenten, mit der ECS Amazon-Steuerebene zu kommunizieren, um Änderungen des Aufgabenstatus zu melden. -
ecs:RegisterContainerInstance: Ermöglicht es einem Prinzipal, eine Container-Instance bei einem Cluster zu registrieren. Diese Berechtigung wird vom ECS Amazon-Container-Agenten verwendet, um die EC2 Amazon-Instance bei einem Cluster zu registrieren und die Weitergabe von Ressourcen-Tags zu unterstützen. -
ecs:StartTelemetrySession— Ermöglicht dem ECS Amazon-Container-Agenten die Kommunikation mit der ECS Amazon-Steuerebene, um Statusinformationen und Kennzahlen für jeden Container und jede Aufgabe zu melden. -
ecs:TagResource— Ermöglicht dem ECS Amazon-Container-Agenten, Cluster bei der Erstellung zu taggen und Container-Instances zu taggen, wenn sie in einem Cluster registriert sind. -
ecs:UpdateContainerInstancesState— Ermöglicht einem Principal, den Status einer ECS Amazon-Container-Instance zu ändern. Diese Berechtigung wird vom ECS Amazon-Container-Agenten für die Entleerung von Spot-Instances verwendet. -
ecs:Submit*— Dazu gehören dieSubmitTaskStateChangeAPI AktionenSubmitAttachmentStateChangesSubmitContainerStateChange, und. Sie werden vom ECS Amazon-Container-Agenten verwendet, um Statusänderungen für jede Ressource an die ECS Amazon-Kontrollebene zu melden. DieSubmitContainerStateChangeGenehmigung wird nicht mehr vom ECS Amazon-Container-Agenten verwendet, sondern dient weiterhin dazu, die Abwärtskompatibilität sicherzustellen. -
ecr:GetAuthorizationToken: Ermöglicht einem Prinzipal, ein Autorisierungstoken abzurufen. Das Autorisierungstoken stellt Ihre IAM Authentifizierungsdaten dar und kann für den Zugriff auf jede ECR Amazon-Registrierung verwendet werden, auf die der IAM Principal Zugriff hat. Das erhaltene Autorisierungs-Token ist 12 Stunden gültig. -
ecr:BatchCheckLayerAvailability— Wenn ein Container-Image in ein ECR privates Amazon-Repository übertragen wird, wird jede Image-Ebene überprüft, um sicherzustellen, dass sie bereits übertragen wurde. Wenn dies der Fall ist, wird die Image-Ebene übersprungen. -
ecr:GetDownloadUrlForLayer— Wenn ein Container-Image aus einem ECR privaten Amazon-Repository abgerufen wird, API wird dies einmal für jede Bildebene aufgerufen, die noch nicht zwischengespeichert ist. -
ecr:BatchGetImage— Wenn ein Container-Image aus einem ECR privaten Amazon-Repository abgerufen wird, API wird dieses einmalig aufgerufen, um das Image-Manifest abzurufen. -
logs:CreateLogStream— Ermöglicht einem Principal, einen CloudWatch Logs-Log-Stream für eine angegebene Protokollgruppe zu erstellen. -
logs:PutLogEvents: Ermöglicht es einem Prinzipal, einen Stapel von Protokollereignissen in einen angegebenen Protokoll-Stream hochzuladen.
Es folgt eine Beispielrichtlinie AmazonEC2ContainerServiceforEC2Role.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ecs:CreateCluster", "ecs:DeregisterContainerInstance", "ecs:DiscoverPollEndpoint", "ecs:Poll", "ecs:RegisterContainerInstance", "ecs:StartTelemetrySession", "ecs:UpdateContainerInstancesState", "ecs:Submit*", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": [ "CreateCluster", "RegisterContainerInstance" ] } } } ] }
Amazon EC2ContainerServiceEventsRole
Diese Richtlinie gewährt Berechtigungen, die es Amazon EventBridge (ehemals CloudWatch Events) ermöglichen, Aufgaben in Ihrem Namen auszuführen. Diese Richtlinie kann der IAM Rolle zugewiesen werden, die bei der Erstellung von geplanten Aufgaben angegeben wurde. Weitere Informationen finden Sie unter ECS EventBridge IAMRolle bei Amazon.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
ecs— Ermöglicht einem Principal in einem Service, Amazon anzurufen ECS RunTask API. Ermöglicht es einem Principal in einem Service, Tags (TagResource) hinzuzufügen, wenn er Amazon aufruft ECS RunTask API. -
iam— Ermöglicht die Übergabe einer beliebigen IAM Servicerolle an beliebige ECS Amazon-Aufgaben.
Es folgt eine Beispielrichtlinie AmazonEC2ContainerServiceEventsRole.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:RunTask"], "Resource": ["*"] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": ["*"], "Condition": { "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"} } }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": ["RunTask"] } } } ] }
Ein mazonECSTask ExecutionRolePolicy
Die AmazonECSTaskExecutionRolePolicy verwaltete IAM Richtlinie gewährt die Berechtigungen, die der ECS Amazon-Container-Agent und die AWS Fargate Container-Agenten benötigen, um in Ihrem Namen AWS API Anrufe zu tätigen. Diese Richtlinie kann zu Ihrer IAM Rolle „Aufgabenausführung“ hinzugefügt werden. Weitere Informationen finden Sie unter Rolle bei der Ausführung von ECS IAM Amazon-Aufgaben.
Details zu Berechtigungen
Die AmazonECSTaskExecutionRolePolicy verwaltete IAM Richtlinie umfasst die folgenden Berechtigungen. Nach den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien kann die von AmazonECSTaskExecutionRolePolicy verwaltete Richtlinie als Leitfaden verwendet werden. Wenn eine der Berechtigungen, die in der verwalteten Richtlinie erteilt werden, für Ihren Anwendungsfall nicht erforderlich ist, erstellen Sie eine benutzerdefinierte Richtlinie, und fügen Sie nur die erforderlichen Berechtigungen hinzu.
-
ecr:GetAuthorizationToken: Ermöglicht einem Prinzipal, ein Autorisierungstoken abzurufen. Das Autorisierungstoken stellt Ihre IAM Authentifizierungsdaten dar und kann für den Zugriff auf jede ECR Amazon-Registrierung verwendet werden, auf die der IAM Principal Zugriff hat. Das erhaltene Autorisierungs-Token ist 12 Stunden gültig. -
ecr:BatchCheckLayerAvailability— Wenn ein Container-Image in ein ECR privates Amazon-Repository übertragen wird, wird jede Image-Ebene überprüft, um sicherzustellen, dass sie bereits übertragen wurde. Wenn es gepusht wird, wird die Image-Ebene übersprungen. -
ecr:GetDownloadUrlForLayer— Wenn ein Container-Image aus einem ECR privaten Amazon-Repository abgerufen wird, API wird dies einmal für jede Bildebene aufgerufen, die noch nicht zwischengespeichert ist. -
ecr:BatchGetImage— Wenn ein Container-Image aus einem ECR privaten Amazon-Repository abgerufen wird, API wird dieses einmalig aufgerufen, um das Image-Manifest abzurufen. -
logs:CreateLogStream— Ermöglicht einem Principal, einen CloudWatch Logs-Log-Stream für eine angegebene Protokollgruppe zu erstellen. -
logs:PutLogEvents: Ermöglicht es einem Prinzipal, einen Stapel von Protokollereignissen in einen angegebenen Protokoll-Stream hochzuladen.
Es folgt eine Beispielrichtlinie AmazonECSTaskExecutionRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
Ein mazonECSService RolePolicy
Die AmazonECSServiceRolePolicy verwaltete IAM Richtlinie ermöglicht es Amazon Elastic Container Service, Ihren Cluster zu verwalten. Diese Richtlinie kann zu Ihrer IAM Aufgabenausführungsrolle hinzugefügt werden. Weitere Informationen finden Sie unter Rolle bei der Ausführung von ECS IAM Amazon-Aufgaben.
Details zu Berechtigungen
Die AmazonECSServiceRolePolicy verwaltete IAM Richtlinie umfasst die folgenden Berechtigungen. Nach den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien kann die von AmazonECSServiceRolePolicy verwaltete Richtlinie als Leitfaden verwendet werden. Wenn eine der Berechtigungen, die in der verwalteten Richtlinie erteilt werden, für Ihren Anwendungsfall nicht erforderlich ist, erstellen Sie eine benutzerdefinierte Richtlinie, und fügen Sie nur die erforderlichen Berechtigungen hinzu.
-
autoscaling— Ermöglicht Prinzipalen das Erstellen, Verwalten und Beschreiben von Amazon EC2 Auto Scaling Scaling-Ressourcen. Dies ist erforderlich, wenn Sie Amazon EC2 Auto Scaling Scaling-Gruppen verwalten und die Cluster-Auto-Scaling-Funktion verwenden. -
autoscaling-plans– Ermöglicht es Prinzipalen, Auto-Scaling-Pläne zu erstellen, zu löschen und zu beschreiben. -
cloudwatch— Ermöglicht es Prinzipalen, CloudWatch Amazon-Alarme zu erstellen, zu verwalten und zu beschreiben. -
ec2— Ermöglicht Principals, EC2 Amazon-Instances auszuführen und Netzwerkschnittstellen und Tags zu erstellen und zu verwalten. -
elasticloadbalancing: Ermöglicht Prinzipalen das Erstellen, Beschreiben und Löschen von Elastic Load Balancing-Lastenausgleichsdiensten. Principals werden auch in der Lage sein, Zielgruppen hinzuzufügen und zu beschreiben. -
logs— Ermöglicht Prinzipalen das Erstellen und Beschreiben von Amazon CloudWatch Logs-Protokollgruppen. Prinzipale können auch Protokollereignisse für diese Protokollgruppen auflisten. -
route53: Ermöglicht Prinzipalen das Erstellen, Verwalten und Löschen von gehosteten Amazon Route 53-Zonen. Prinzipale können auch die Konfiguration und Informationen zur Amazon Route 53 Integritätsprüfung anzeigen. Weitere Informationen über gehostete Zonen finden Sie unter Arbeiten mit gehosteten Zonen. -
servicediscovery— Ermöglicht Prinzipalen, AWS Cloud Map Dienste zu erstellen, zu verwalten und zu löschen und private DNS Namespaces zu erstellen. -
events— Ermöglicht Prinzipalen das Erstellen, Verwalten und Löschen von EventBridge Amazon-Regeln und deren Zielen.
Es folgt eine Beispielrichtlinie AmazonECSServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ECSTaskManagement", "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:Describe*", "ec2:DetachNetworkInterface", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DeregisterTargets", "elasticloadbalancing:Describe*", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:DeleteHealthCheck", "route53:Get*", "route53:List*", "route53:UpdateHealthCheck", "servicediscovery:DeregisterInstance", "servicediscovery:Get*", "servicediscovery:List*", "servicediscovery:RegisterInstance", "servicediscovery:UpdateInstanceCustomHealthStatus" ], "Resource": "*" }, { "Sid": "AutoScaling", "Effect": "Allow", "Action": [ "autoscaling:Describe*" ], "Resource": "*" }, { "Sid": "AutoScalingManagement", "Effect": "Allow", "Action": [ "autoscaling:DeletePolicy", "autoscaling:PutScalingPolicy", "autoscaling:SetInstanceProtection", "autoscaling:UpdateAutoScalingGroup", "autoscaling:PutLifecycleHook", "autoscaling:DeleteLifecycleHook", "autoscaling:CompleteLifecycleAction", "autoscaling:RecordLifecycleActionHeartbeat" ], "Resource": "*", "Condition": { "Null": { "autoscaling:ResourceTag/AmazonECSManaged": "false" } } }, { "Sid": "AutoScalingPlanManagement", "Effect": "Allow", "Action": [ "autoscaling-plans:CreateScalingPlan", "autoscaling-plans:DeleteScalingPlan", "autoscaling-plans:DescribeScalingPlans", "autoscaling-plans:DescribeScalingPlanResources" ], "Resource": "*" }, { "Sid": "EventBridge", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": "arn:aws:events:*:*:rule/ecs-managed-*" }, { "Sid": "EventBridgeRuleManagement", "Effect": "Allow", "Action": [ "events:PutRule", "events:PutTargets" ], "Resource": "*", "Condition": { "StringEquals": { "events:ManagedBy": "ecs.amazonaws.com" } } }, { "Sid": "CWAlarmManagement", "Effect": "Allow", "Action": [ "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Sid": "ECSTagging", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*" }, { "Sid": "CWLogGroupManagement", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*" }, { "Sid": "CWLogStreamManagement", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*:log-stream:*" }, { "Sid": "ExecuteCommandSessionManagement", "Effect": "Allow", "Action": [ "ssm:DescribeSessions" ], "Resource": "*" }, { "Sid": "ExecuteCommand", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ecs:*:*:task/*", "arn:aws:ssm:*:*:document/AmazonECS-ExecuteInteractiveCommand" ] }, { "Sid": "CloudMapResourceCreation", "Effect": "Allow", "Action": [ "servicediscovery:CreateHttpNamespace", "servicediscovery:CreateService" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonECSManaged" ] } } }, { "Sid": "CloudMapResourceTagging", "Effect": "Allow", "Action": "servicediscovery:TagResource", "Resource": "*", "Condition": { "StringLike": { "aws:RequestTag/AmazonECSManaged": "*" } } }, { "Sid": "CloudMapResourceDeletion", "Effect": "Allow", "Action": [ "servicediscovery:DeleteService" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AmazonECSManaged": "false" } } }, { "Sid": "CloudMapResourceDiscovery", "Effect": "Allow", "Action": [ "servicediscovery:DiscoverInstances", "servicediscovery:DiscoverInstancesRevision" ], "Resource": "*" } ] }
AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
Bietet administrativen Zugriff auf Secrets Manager und andere AWS Services AWS Private Certificate Authority, die zur Verwaltung von Amazon ECS Service TLS Connect-Funktionen in Ihrem Namen erforderlich sind.
Details zu Berechtigungen
Die AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity verwaltete IAM Richtlinie umfasst die folgenden Berechtigungen. Nach den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien kann die von AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity verwaltete Richtlinie als Leitfaden verwendet werden. Wenn eine der Berechtigungen, die in der verwalteten Richtlinie erteilt werden, für Ihren Anwendungsfall nicht erforderlich ist, erstellen Sie eine benutzerdefinierte Richtlinie, und fügen Sie nur die erforderlichen Berechtigungen hinzu.
-
secretsmanager:CreateSecret— Ermöglicht dem Principal, das Geheimnis zu erstellen. Es ist für Service Connect TLS erforderlich. Amazon ECS hält den privaten Schlüssel des Kunden im Secrets Manager des Kunden geheim. -
secretsmanager:TagResource— Ermöglicht dem Principal, dem erstellten Geheimnis ein Tag zuzuweisen. Es ist für Service Connect erforderlichTLS, da Amazon das Geheimnis im Namen des Kunden ECS erstellt und das Tag mit der Ressource verknüpft. Diese Tags bieten dem Kunden eine einfachere Möglichkeit, das verwaltete Geheimnis zu identifizieren und die Aktionen im Zusammenhang mit diesen Geheimnissen einzuschränken. -
secretsmanager:DescribeSecret— Erlauben Sie dem Principal, das Geheimnis zu beschreiben und die aktuelle Version abzurufen. Es ist erforderlichECS, dass Amazon ECS Service TLS Connect-Materialrotation durchführt. -
secretsmanager:UpdateSecret— Erlaubt dem Principal, das Geheimnis zu aktualisieren. Amazon ECS muss die TLS Materialrotation bei Amazon ECS Service Connect durchführen und das Geheimnis mit neuen Materialien aktualisieren. -
secretsmanager:GetSecretValue— Erlaubt dem Principal, den geheimen Wert abzurufen. Es ist erforderlichECS, dass Amazon ECS Service TLS Connect-Materialrotation durchführt. -
secretsmanager:PutSecretValue— Erlaubt dem Principal, den geheimen Wert einzugeben. Es ist erforderlichECS, dass Amazon ECS Service TLS Connect-Materialrotation durchführt. -
secretsmanager:UpdateSecretVersionStage— Erlaubt dem Principal, die geheime Versionsphase zu aktualisieren. Es ist erforderlichECS, dass Amazon ECS Service TLS Connect-Materialrotation durchführt. -
acm-pca:IssueCertificate— Erlauben Sie dem Principal, Amazon ECS Service Connect anzurufen IssueCertificate TLS.End entity certificateEs ist erforderlichECS, um ein Zertifikat für den Upstream-Service des Kunden zu generieren. -
acm-pca:GetCertificate— Erlauben Sie dem Principal, Amazon ECS Service Connect anzurufen GetCertificate TLS.End entity certificate -
acm-pca:GetCertificateAuthorityCertificate— Erlaubt dem Prinzipal, ein Zertifikat der Zertifizierungsstelle zu erhalten. Es ist für Amazon ECS Service Connect erforderlich, TLS damit der Downstream-Service des Kunden dem Upstream-Entity-Zertifikat vertrauen kann. -
acm-pca:DescribeCertificateAuthority— Erlaubt dem Principal, Details über die Zertifizierungsstelle abzurufen. Es ist erforderlich, dass Amazon ECS Service Connect Informationen wie TLS den Signaturalgorithmus wiederverwendet, um die CSR (Certificate Signing Request) zu erstellen.
Es folgt eine Beispielrichtlinie AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateSecret", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": [ "arn:aws:ecs:*:*:service/*/*", "arn:aws:ecs:*:*:task-set/*/*" ] }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "TagOnCreateSecret", "Effect": "Allow", "Action": "secretsmanager:TagResource", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": [ "arn:aws:ecs:*:*:service/*/*", "arn:aws:ecs:*:*:task-set/*/*" ] }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RotateTLSCertificateSecret", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:UpdateSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue", "secretsmanager:DeleteSecret", "secretsmanager:RotateSecret", "secretsmanager:UpdateSecretVersionStage" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "ecs-sc", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "ManagePrivateCertificateAuthority", "Effect": "Allow", "Action": [ "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:DescribeCertificateAuthority" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } }, { "Sid": "ManagePrivateCertificateAuthorityForIssuingEndEntityCertificate", "Effect": "Allow", "Action": [ "acm-pca:IssueCertificate" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true", "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] }
AWSApplicationAutoscalingECSServicePolicy
Sie können keine Verbindungen AWSApplicationAutoscalingECSServicePolicy zu Ihren IAM Entitäten herstellen. Diese Richtlinie ist einer serviceverknüpften Rolle zugeordnet, die die Application Auto Scaling in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für Application Auto Scaling.
AWSCodeDeployRoleForECS
Sie können nichts AWSCodeDeployRoleForECS an Ihre IAM Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es CodeDeploy ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Erstellen einer Servicerolle für CodeDeploy im AWS CodeDeploy Benutzerhandbuch.
AWSCodeDeployRoleForECSLimited
Sie können nichts AWSCodeDeployRoleForECSLimited an Ihre IAM Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es CodeDeploy ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Erstellen einer Servicerolle für CodeDeploy im AWS CodeDeploy Benutzerhandbuch.
ECSAktualisierungen der AWS verwalteten Richtlinien durch Amazon
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon an, ECS seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS Feed auf der Amazon ECS Document-Verlaufsseite.
| Änderung | Beschreibung | Datum |
|---|---|---|
|
Es wurden Berechtigungen hinzugefügt zu ECSAmazonas_ FullAccess |
Die AmazonECS_FullAccess Richtlinie wurde aktualisiert, um iam:PassRole Berechtigungen für IAM Rollen für eine Rolle mit dem Namen hinzuzufügenecsInfrastructureRole. Dies ist die von der erstellte IAM Standardrolle AWS Management Console , die als ECS Infrastrukturrolle verwendet werden soll, mit der Amazon ECS EBS Amazon-Volumes verwalten kann, die mit ECS Aufgaben verknüpft sind. |
13. August 2024 |
|
Neue mazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurityA-Richtlinie hinzufügen |
Es wurde eine neue mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity A-Richtlinie hinzugefügt AWS KMS AWS Private Certificate Authority, die Administratorzugriff auf Secrets Manager gewährt und die ordnungsgemäße Funktionsweise der Amazon ECS Service TLS Connect-Funktionen ermöglicht. |
22. Januar 2024 |
|
Neue Richtlinie A hinzufügen mazonECSInfrastructure RolePolicyForVolumes |
Die AmazonECSInfrastructureRolePolicyForVolumes Richtlinie wurde hinzugefügt. Die Richtlinie gewährt die Berechtigungen, die Amazon benötigt, um AWS API Aufrufe ECS zur Verwaltung von EBS Amazon-Volumes im Zusammenhang mit ECS Amazon-Workloads zu tätigen. |
11. Januar 2024 |
|
Fügen Sie Berechtigungen zu A hinzu mazonECSService RolePolicy |
Die AmazonECSServiceRolePolicy verwaltete IAM Richtlinie wurde mit neuen events autoscaling und zusätzlichen autoscaling-plans Berechtigungen aktualisiert. |
4. Dezember 2023 |
|
Berechtigungen zu Amazon hinzufügen EC2ContainerServiceEventsRole |
Die AmazonECSServiceRolePolicy verwaltete IAM Richtlinie wurde aktualisiert, um den Zugriff auf den AWS Cloud Map
DiscoverInstancesRevision API Vorgang zu ermöglichen. |
04. Oktober 2023 |
|
Berechtigungen zu Amazon hinzufügen EC2ContainerServiceforEC2Role |
Die AmazonEC2ContainerServiceforEC2Role Richtlinie wurde dahingehend geändert, dass die ecs:TagResource Berechtigung hinzugefügt wurde. Dazu gehört auch eine Bedingung, die die Berechtigung nur auf neu erstellte Cluster und registrierte Container-Instances beschränkt. |
6. März 2023 |
|
Berechtigungen zu ECSAmazonas_ FullAccess hinzufügen |
Die AmazonECS_FullAccess Richtlinie wurde dahingehend geändert, dass die elasticloadbalancing:AddTags Berechtigung hinzugefügt wurde. Dazu gehört auch eine Bedingung, die die Berechtigung nur auf neu erstellte Load Balancer, Zielgruppen, Regeln und neu erstellte Listener beschränkt. Diese Berechtigung erlaubt nicht das Hinzufügen von Tags zu bereits erstellten Elastic-Load-Balancing-Ressourcen. |
4. Januar 2023 |
|
Amazon ECS hat begonnen, Änderungen zu verfolgen |
Amazon ECS hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. |
8. Juni 2021 |
