Migration zur von AmazonECS_FullAccess verwalteten Richtlinie - Amazon ECS

Migration zur von AmazonECS_FullAccess verwalteten Richtlinie

Die von AmazonEC2ContainerServiceFullAccess verwaltete IAM-Richtlinie wurde am 29 .Januar 2021 als Reaktion auf eine Sicherheitsfeststellung mit der iam:passRole-Berechtigung ausgemustert. Diese Berechtigung gewährt den Zugriff auf alle Ressourcen, einschließlich der Anmeldeinformationen für Rollen im Konto. Nachdem die Richtlinie jetzt abgelaufen ist, können Sie die Richtlinie nicht an neue IAM-Gruppen, Benutzer oder Rollen anhängen. Alle Gruppen, Benutzer oder Rollen, denen die Richtlinie bereits zugeordnet ist, können sie weiterhin verwenden. Es wird jedoch empfohlen, die IAM-Gruppen, -Benutzer oder -Rollen zu aktualisieren, um stattdessen die von AmazonECS_FullAccess verwaltete Richtlinie zu nutzen.

Die Berechtigungen, die von der AmazonECS_FullAccess-Richtlinie gewährt werden, enthalten die vollständige Liste der Berechtigungen, die für die Verwendung von ECS als Administrator erforderlich sind. Wenn Sie derzeit Berechtigungen verwenden, die von der AmazonEC2ContainerServiceFullAccess-Richtlinie gewährt werden, die nicht in derAmazonECS_FullAccess-Richtlinie enthalten sind, können Sie sie einer Inline-Richtlinienanweisung hinzufügen. Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien für Amazon Elastic Container Service.

Gehen Sie wie folgt vor, um festzustellen, ob IAM-Gruppen, -Benutzer oder -Rollen vorhanden sind, die derzeit die von AmazonEC2ContainerServiceFullAccess verwaltete IAM-Richtlinie verwenden. Aktualisieren Sie sie dann, um die frühere Richtlinie zu trennen, und die AmazonECS_FullAccess-Richtlinie anzufügen.

So aktualisieren Sie eine IAM-Gruppe, einen -Benutzer oder eine -Rolle für die Verwendung der AmazonECS_FullAccess-Richtlinie (AWS Management Console)

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Richtlinien und suchen sie nach und wählen Sie die AmazonEC2ContainerServiceFullAccess-Richtlinie.

  3. Wählen Sie die Registerkarte Verwendung von Richtlinien, die jede IAM-Rolle anzeigt, die derzeit diese Richtlinie verwendet.

  4. Wählen Sie für jede IAM-Rolle, die derzeit die AmazonEC2ContainerServiceFullAccess-Richtlinie verwendet, die Rolle aus und führen Sie die folgenden Schritte aus, um die veraltete Richtlinie zu trennen und die AmazonECS_FullAccess-Richtlinie anzufügen.

    1. Wählen Sie auf der Registerkarte Berechtigungen die Option X neben der AmazonEC2ContainerServiceFullAccess-Richtlinie.

    2. Wählen Sie Add permissions.

    3. Wählen Sie Vorhandene Richtlinien direkt zuordnen und suchen Sie nach der Richtlinie AmazonECS_FullAccess und wählen Sie diese aus. Wählen Sie dann Weiter: Prüfen aus.

    4. Prüfen Sie die Änderungen und wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

    5. Wiederholen Sie diese Schritte für jede IAM-Gruppe, jeden -Benutzer oder jede -Rolle, die die AmazonEC2ContainerServiceFullAccess-Richtlinie verwendet.

Um eine IAM-Gruppe, einen -Benutzer oder eine -Rolle zu aktualisieren, um die AmazonECS_FullAccess-Richtlinie (AWS CLI) zu verwenden

  1. Verwenden Sie den Befehl Generate-service-last-accessed-details, um einen Bericht zu generieren, der Details darüber enthält, wann die veraltete Richtlinie zuletzt verwendet wurde.

    aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    Beispielausgabe:

    { "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE" }
  2. Verwenden Sie die Job-ID aus der vorherigen Ausgabe mit dem Befehl get-service-last-accessed-details, um den zuletzt zugegriffenen Bericht des Dienstes abzurufen. In diesem Bericht wird der Amazon-Ressourcenname (ARN) der IAM-Entitäten angezeigt, die zuletzt die veraltete Richtlinie verwendet haben.

    aws iam get-service-last-accessed-details \ --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
  3. Verwenden Sie einen der folgenden Befehle, um die AmazonEC2ContainerServiceFullAccess-Richtlinie von einer IAM-Gruppe, einem -Benutzer oder einer -Rolle abzuhängen.

  4. Verwenden Sie einen der folgenden Befehle, um die AmazonECS_FullAccess-Richtlinie an eine IAM-Gruppe, einen -Benutzer oder eine -Rolle anzufügen.