Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Von verwaltete Richtlinien für Amazon Elastic Container Service
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als selbst Richtlinien zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere von AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken häufige Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu von AWS verwalteten Richtlinien finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.
AWS -Services verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am wahrscheinlichsten, wenn ein neues Feature gestartet wird oder wenn neue Vorgänge verfügbar werden. Services entfernen keine Berechtigungen aus einer von AWS verwalteten Richtlinie, sodass Richtlinienaktualisierungen Ihre vorhandenen Berechtigungen nicht beeinträchtigen.
Darüber hinaus AWS unterstützt verwaltete Richtlinien für Auftragsfunktionen, die sich über mehrere Services erstrecken. Die von ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle - AWS Services und -Ressourcen. Wenn ein Service ein neues Feature startet, AWS fügt schreibgeschützte Berechtigungen für neue Vorgänge und Ressourcen hinzu. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS -Richtlinien für Auftragsfunktionen im IAM-Leitfaden.
Amazon ECS und Amazon ECR bieten mehrere verwaltete Richtlinien und Vertrauensstellungen, die Sie Benutzern, Gruppen, Rollen oder Amazon-EC2-Instances und Amazon-ECS-Aufgaben anfügen können, um verschiedene Kontrollstufen für Ressourcen und API-Operationen festzulegen. Sie können diese Richtlinien direkt anwenden oder als Ausgangspunkt nutzen, um eigene Richtlinien zu erstellen. Weitere Informationen zu verwalteten Amazon ECR-Richtlinien finden Sie unter Verwaltete Amazon ECR-Richtlinien.
AmazonECS _FullAccess
Sie können die AmazonECS_FullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorzugriff auf Amazon-ECS-Ressourcen und gewährt einer IAM-Identität (z. B. einem Benutzer, einer Gruppe oder einer Rolle) Zugriff auf die AWS Services, in die Amazon ECS integriert ist, um alle Amazon-ECS-Funktionen zu nutzen. Die Verwendung dieser Richtlinie ermöglicht den Zugriff auf alle Amazon-ECS-Features, die in AWS Management Console verfügbar sind.
Details zu Berechtigungen
Die von AmazonECS_FullAccess verwaltete IAM-Richtlinie muss die folgende Berechtigungen umfassen. Nach den bewährten Methoden zur Erteilung von geringsten Privilegien können Sie die von AmazonECS_FullAccess verwaltete Richtlinie als Vorlage zum Erstellen eigener benutzerdefinierter Richtlinien verwenden. Auf diese Weise können Sie Berechtigungen zu und aus der verwalteten Richtlinie basierend auf Ihren spezifischen Anforderungen entfernen oder hinzufügen.
-
ecs– Ermöglicht Prinzipalen vollen Zugriff auf alle Amazon-ECS-API-Operationen. -
application-autoscaling: Ermöglicht es Prinzipalen, Application Auto Scaling Ressourcen zu erstellen, zu beschreiben und zu verwalten. Dies ist erforderlich, wenn Sie das Service-Auto-Scaling für Ihre Amazon-ECS-Dienste aktivieren. -
appmesh: Ermöglicht es Prinzipalen, App Mesh-Service-Netze und virtuelle Knoten aufzulisten und virtuelle App-Mesh-Knoten zu beschreiben. Dies ist erforderlich, wenn Sie Ihre Amazon-ECS-Dienste in App Mesh integrieren. -
autoscaling: Ermöglicht es Prinzipalen, Amazon EC2 Auto Scaling Ressourcen zu erstellen, zu verwalten und zu beschreiben. Dies ist erforderlich, wenn Sie Amazon EC2 Auto Scaling-Gruppen verwalten, wenn Sie die Cluster Auto Scaling-Funktion verwenden. -
cloudformation– Ermöglicht es Prinzipalen, AWS CloudFormation Stacks zu erstellen und zu verwalten. Dies ist erforderlich, wenn Sie Amazon-ECS-Cluster mit AWS Management Console erstellen und anschließend dieser Cluster verwalten. -
cloudwatch– Ermöglicht es Prinzipalen, Amazon- CloudWatch Alarme zu erstellen, zu verwalten und zu beschreiben. -
codedeploy– Ermöglicht es Prinzipalen, Anwendungsbereitstellungen zu erstellen und zu verwalten und ihre Konfigurationen, Revisionen und Bereitstellungsziele anzuzeigen. -
sns: Ermöglicht es Prinzipalen, eine Liste mit Amazon SNS-Themen anzuzeigen. -
lambda: Ermöglicht es Prinzipalen, eine Liste von AWS Lambda -Funktionen und deren versionsspezifischen Konfigurationen anzuzeigen. -
ec2– Ermöglicht es Prinzipalen, Amazon EC2-Instances auszuführen und Routen, Routing-Tabellen, Internet-Gateways, Startgruppen, Sicherheitsgruppen, Virtual Private Clouds, Spot-Flotten und Subnetze zu erstellen und zu verwalten. -
elasticloadbalancing: Ermöglicht Prinzipalen das Erstellen, Beschreiben und Löschen von Elastic Load Balancing-Lastenausgleichsdiensten. Prinzipale können auch Tags zu neu erstellten Zielgruppen, Listener und Listener-Regeln für Load Balancer hinzufügen. -
events– Ermöglicht es Prinzipalen, Amazon- EventBridge Regeln und ihre Ziele zu erstellen, zu verwalten und zu löschen. -
iam: Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien aufzulisten. Prinzipale können auch Instance-Profile auflisten, die für Ihre Amazon-EC2-Instances verfügbar sind. -
logs– Ermöglicht es Prinzipalen, Amazon- CloudWatch Logs-Protokollgruppen zu erstellen und zu beschreiben. Prinzipale können auch Protokollereignisse für diese Protokollgruppen auflisten. -
route53: Ermöglicht Prinzipalen das Erstellen, Verwalten und Löschen von gehosteten Amazon Route 53-Zonen. Prinzipale können auch die Konfiguration und Informationen zur Amazon Route 53 Integritätsprüfung anzeigen. Weitere Informationen über gehostete Zonen finden Sie unter Arbeiten mit gehosteten Zonen. -
servicediscovery– Ermöglicht es Prinzipalen, - AWS Cloud Map Services zu erstellen, zu verwalten und zu löschen sowie private DNS-Namespaces zu erstellen.
Es folgt eine Beispielrichtlinie AmazonECS_FullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget", "appmesh:DescribeVirtualGateway", "appmesh:DescribeVirtualNode", "appmesh:ListMeshes", "appmesh:ListVirtualGateways", "appmesh:ListVirtualNodes", "autoscaling:CreateAutoScalingGroup", "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:DeleteLaunchConfiguration", "autoscaling:Describe*", "autoscaling:UpdateAutoScalingGroup", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricStatistics", "cloudwatch:PutMetricAlarm", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetApplications", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:ContinueDeployment", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetApplicationRevision", "codedeploy:GetDeployment", "codedeploy:GetDeploymentConfig", "codedeploy:GetDeploymentGroup", "codedeploy:GetDeploymentTarget", "codedeploy:ListApplicationRevisions", "codedeploy:ListApplications", "codedeploy:ListDeploymentConfigs", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:ListDeploymentTargets", "codedeploy:RegisterApplicationRevision", "codedeploy:StopDeployment", "ec2:AssociateRouteTable", "ec2:AttachInternetGateway", "ec2:AuthorizeSecurityGroupIngress", "ec2:CancelSpotFleetRequests", "ec2:CreateInternetGateway", "ec2:CreateLaunchTemplate", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:DeleteLaunchTemplate", "ec2:DeleteSubnet", "ec2:DeleteVpc", "ec2:Describe*", "ec2:DetachInternetGateway", "ec2:DisassociateRouteTable", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:RequestSpotFleet", "ec2:RunInstances", "ecs:*", "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:CreateListener", "elasticloadbalancing:CreateLoadBalancer", "elasticloadbalancing:CreateRule", "elasticloadbalancing:CreateTargetGroup", "elasticloadbalancing:DeleteListener", "elasticloadbalancing:DeleteLoadBalancer", "elasticloadbalancing:DeleteRule", "elasticloadbalancing:DeleteTargetGroup", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeTargetGroups", "events:DeleteRule", "events:DescribeRule", "events:ListRuleNamesByTarget", "events:ListTargetsByRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets", "fsx:DescribeFileSystems", "iam:ListAttachedRolePolicies", "iam:ListInstanceProfiles", "iam:ListRoles", "lambda:ListFunctions", "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:FilterLogEvents", "route53:CreateHostedZone", "route53:DeleteHostedZone", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHostedZonesByName", "servicediscovery:CreatePrivateDnsNamespace", "servicediscovery:CreateService", "servicediscovery:DeleteService", "servicediscovery:GetNamespace", "servicediscovery:GetOperation", "servicediscovery:GetService", "servicediscovery:ListNamespaces", "servicediscovery:ListServices", "servicediscovery:UpdateService", "sns:ListTopics" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:GetParameters", "ssm:GetParametersByPath" ], "Resource": "arn:aws:ssm:*:*:parameter/aws/service/ecs*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteInternetGateway", "ec2:DeleteRoute", "ec2:DeleteRouteTable", "ec2:DeleteSecurityGroup" ], "Resource": ["*"], "Condition": { "StringLike": {"ec2:ResourceTag/aws:cloudformation:stack-name": "EC2ContainerService-*"} } }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": ["*"], "Condition": { "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"} } }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": ["arn:aws:iam::*:role/ecsInstanceRole*"], "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn" ] } } }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": ["arn:aws:iam::*:role/ecsAutoscaleRole*"], "Condition": { "StringLike": { "iam:PassedToService": [ "application-autoscaling.amazonaws.com", "application-autoscaling.amazonaws.com.cn" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "autoscaling.amazonaws.com", "ecs.amazonaws.com", "ecs.application-autoscaling.amazonaws.com", "spot.amazonaws.com", "spotfleet.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": ["elasticloadbalancing:AddTags"], "Resource": "*", "Condition": { "StringEquals": { "elasticloadbalancing:CreateAction": [ "CreateTargetGroup", "CreateRule", "CreateListener", "CreateLoadBalancer" ] } } } ] }
AmazonECSInfrastructureRolePolicyForVolumes
Die AmazonECSInfrastructureRolePolicyForVolumes verwaltete IAM-Richtlinie gewährt die Berechtigungen, die Amazon ECS benötigt, um AWS API-Aufrufe in Ihrem Namen durchzuführen. Sie können diese Richtlinie an die IAM-Rolle anhängen, die Sie mit Ihrer Volume-Konfiguration beim Starten von Amazon-ECS-Aufgaben und -Services bereitstellen. Die Rolle ermöglicht es Amazon ECS, Volumes zu verwalten, die Ihren Aufgaben zugeordnet sind. Weitere Informationen finden Sie unter IAM-Rolle für die Amazon-ECS-Infrastruktur.
Details zu Berechtigungen
Die von AmazonECSInfrastructureRolePolicyForVolumes verwaltete IAM-Richtlinie muss die folgende Berechtigungen umfassen. Nach den Standardsicherheitshinweisen zur Erteilung der geringsten Berechtigungen können Sie die AmazonECSInfrastructureRolePolicyForVolumes verwaltete Richtlinie als Vorlage für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinie verwenden, die nur die von Ihnen benötigten Berechtigungen enthält.
-
ec2:CreateVolume– Ermöglicht es einem Prinzipal, ein Amazon-EBS-Volume zu erstellen, wenn und nur wenn sie mit denAmazonECSManagedTagsAmazonECSCreatedund gekennzeichnet sind. Diese Berechtigung ist erforderlich, um Amazon-EBS-Volumes zu erstellen, die Amazon-ECS-Aufgaben zugeordnet sind, und Berechtigungen zu minimieren, die Amazon ECS durch diese Richtlinie bereitgestellt werden. -
ec2:CreateTags– Ermöglicht einem Prinzipal das Hinzufügen von Tags zu einem Amazon EBS-Volume als Teil vonec2:CreateVolume. Diese Berechtigung wird von Amazon ECS benötigt, um vom Kunden angegebene Tags zu Amazon-EBS-Volumes hinzuzufügen, die in Ihrem Namen erstellt wurden. -
ec2:AttachVolume– Ermöglicht es einem Prinzipal, ein Amazon-EBS-Volume an eine Amazon EC2 anzuhängen. Diese Berechtigung wird von Amazon ECS benötigt, um Amazon-EBS-Volumes an die Amazon EC2 anzuhängen, die die zugehörige Amazon-ECS-Aufgabe hostet. -
ec2:DescribeVolume– Ermöglicht es einem Prinzipal, Informationen über Amazon-EBS-Volumes abzurufen. Diese Berechtigung ist erforderlich, um den Lebenszyklus von Amazon-EBS-Volumes zu verwalten. -
ec2:DescribeAvailabilityZones– Ermöglicht es einem Prinzipal, Informationen über Availability Zones in Ihrem Konto abzurufen. Dies ist erforderlich, um den Lebenszyklus von EBS-Volumes zu verwalten. -
ec2:DetachVolume– Ermöglicht es einem Prinzipal, ein Amazon-EBS-Volume von einer Amazon EC2 zu trennen. Diese Berechtigung wird von Amazon ECS benötigt, um das Amazon-EBS-Volume von der Amazon EC2-Instance zu trennen, die die zugehörige Amazon-ECS-Aufgabe hostet, wenn die Aufgabe beendet wird. -
ec2:DeleteVolume– Ermöglicht es einem Prinzipal, ein Amazon-EBS-Volume zu löschen. Diese Berechtigung wird von Amazon ECS benötigt, um Amazon-EBS-Volumes zu löschen, die nicht mehr von der Amazon-ECS-Aufgabe verwendet werden. -
ec2:DeleteTags– Ermöglicht es einem Prinzipal, dasAmazonECSManagedTag von einem Amazon EBS-Volume zu löschen. Diese Berechtigung wird von Amazon ECS benötigt, um den Zugriff auf ein Amazon-EBS-Volume zu entfernen, nachdem es nicht mehr mit einem Amazon-ECS-Workload verknüpft ist. Dies gilt nur, wenn ein Amazon-EBS-Volume nach dem Herunterfahren der Aufgabe nicht gelöscht wird.
Es folgt eine Beispielrichtlinie AmazonECSInfrastructureRolePolicyForVolumes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateEBSManagedVolume", "Effect": "Allow", "Action": "ec2:CreateVolume", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true" } } }, { "Sid": "TagOnCreateVolume", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "ec2:CreateAction": "CreateVolume", "aws:RequestTag/AmazonECSManaged": "true" } } }, { "Sid": "DescribeVolumesForLifecycle", "Effect": "Allow", "Action": [ "ec2:DescribeVolumes", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Sid": "ManageEBSVolumeLifecycle", "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } }, { "Sid": "ManageVolumeAttachmentsForEC2", "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*" }, { "Sid": "DeleteEBSManagedVolume", "Effect": "Allow", "Action": "ec2:DeleteVolume", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:ResourceTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } } ] }
AmazonEC2ContainerServiceforEC2Role
Amazon ECS fügt diese Richtlinie einer Service-Rolle zu, mit der Amazon ECS in Ihrem Namen Aktionen gegen Amazon-EC2-Instances oder externe Instances ausführen kann.
Diese Richtlinie gewährt Administratorberechtigungen, die es Amazon-ECS-Container-Instances ermöglichen, in AWS Ihrem Namen Aufrufe an zu tätigen. Weitere Informationen finden Sie unter IAM-Rolle für Amazon-ECS-Container-Instance.
Überlegungen
Beachten Sie die folgenden Empfehlungen und Überlegungen bei der Verwendung der durch AmazonEC2ContainerServiceforEC2Role verwalteten IAM-Richtlinie.
-
Wenn Sie den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien folgen, können Sie die von
AmazonEC2ContainerServiceforEC2Roleverwaltete Richtlinie modifizieren, um Ihren spezifischen Anforderungen gerecht zu werden. Wenn eine der in der verwalteten Richtlinie erteilten Berechtigungen für Ihren Anwendungsfall nicht benötigt wird, erstellen Sie eine benutzerdefinierte Richtlinie und fügen Sie nur die erforderlichen Berechtigungen hinzu. Zum Beispiel wird dieUpdateContainerInstancesState-Berechtigung für die Entleerung von Spot-Instances bereitgestellt. Wenn diese Berechtigung für Ihren Anwendungsfall nicht benötigt wird, schließen Sie sie mit einer benutzerdefinierten Richtlinie aus. Weitere Informationen finden Sie unter Details zu Berechtigungen. -
Container, die auf Ihren Container-Instances ausgeführt werden, haben Zugriff auf alle Berechtigungen, die der Container-Instance-Rolle über Instance-Metadaten zur Verfügung gestellt werden. Wir empfehlen Ihnen, die Berechtigungen in Ihrer Container-Instance-Rolle auf die minimale Liste von Berechtigungen, die in der verwalteten Richtlinie
AmazonEC2ContainerServiceforEC2Rolebereitgestellt werden, zu begrenzen. Wenn die Container in Ihren Aufgaben besondere Berechtigungen erfordern, die nicht aufgelistet sind, empfehlen wir, für diese Aufgaben ihre eigenen IAM-Rollen bereitzustellen. Weitere Informationen finden Sie unter IAM-Rolle für Aufgabe.Sie können Container auf der
docker0-Bridge vom Zugriff auf die Berechtigungen, die der Container-Instance-Rolle bereitgestellt wurden, abhalten. Sie können dies tun, während Sie weiterhin die Berechtigungen zulassen, die von IAM-Rolle für Aufgabe durch ausführen des folgenden Befehlsiptables auf Ihren Container-Instances bereitgestellt werden. Container können Instance-Metadaten mit dieser Regel nicht abfragen. Dieser Befehl setzt die Standard-Docker-Bridge-Konfiguration voraus und funktioniert nicht für Container, die denhost-Netzwerkmodus verwenden. Weitere Informationen finden Sie unter Netzwerkmodus.sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROPSie müssen diese iptables-Regel auf Ihrer Container-Instance speichern, damit sie einen Neustart übersteht. Verwenden Sie für die Amazon-ECS-optimierte AMI den folgenden Befehl. Informationen über andere Betriebssysteme finden Sie in der Dokumentation für dieses Betriebssystem.
-
Für das Amazon-ECS-optimierte Amazon Linux 2-AMI:
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables -
Für das Amazon-ECS-optimierte Amazon Linux AMI:
sudo service iptables save
-
Details zu Berechtigungen
Die von AmazonEC2ContainerServiceforEC2Role verwaltete IAM-Richtlinie muss die folgende Berechtigungen umfassen. Nach den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien kann die von AmazonEC2ContainerServiceforEC2Role verwaltete Richtlinie als Leitfaden verwendet werden. Wenn Sie eine der in der verwalteten Richtlinie erteilten Berechtigungen für Ihren Anwendungsfall nicht benötigen, erstellen Sie eine benutzerdefinierte Richtlinie und fügen Sie nur die erforderlichen Berechtigungen hinzu.
-
ec2:DescribeTags: Ermöglicht es einem Prinzipal, die Tags zu beschreiben, die einer Amazon-EC2-Instance zugeordnet sind. Diese Berechtigung wird vom Amazon-ECS-Container-Agent verwendet, um die Weitergabe von Ressourcen-Tags zu unterstützen. Weitere Informationen finden Sie unter So werden Ressourcen markiert. -
ecs:CreateCluster: Ermöglicht es einem Prinzipal, einen Amazon-ECS-Cluster zu erstellen. Diese Berechtigung wird vom Amazon-ECS-Container-Agenten verwendet, um einendefault-Cluster zu erstellen, falls noch keiner vorhanden ist. -
ecs:DeregisterContainerInstance: Ermöglicht es einem Prinzipal, eine Amazon-ECS-Container-Instance von einem Cluster abzumelden. Der Amazon-ECS-Container-Agent ruft diese API-Operation nicht auf, aber diese Berechtigung bleibt bestehen, um die Abwärtskompatibilität sicherzustellen. -
ecs:DiscoverPollEndpoint: Diese Aktion gibt Endpunkte zurück, die der Amazon-ECS-Container-Agent zur Abfrage von Aktualisierungen verwendet. -
ecs:Poll: Ermöglicht dem Amazon-ECS-Container-Agent die Kommunikation mit der Amazon-ECS-Steuerungsebene, um Änderungen des Aufgabenzustands zu melden. -
ecs:RegisterContainerInstance: Ermöglicht es einem Prinzipal, eine Container-Instance bei einem Cluster zu registrieren. Diese Berechtigung wird vom Amazon-ECS-Container-Agenten verwendet, um die Amazon EC2-Instance bei einem Cluster zu registrieren und die Verbreitung von Ressourcen-Tags zu unterstützen. -
ecs:StartTelemetrySession: Ermöglicht dem Amazon-ECS-Container-Agent die Kommunikation mit der Amazon-ECS-Steuerungsebene, um Integritätsinformationen und Metriken für jeden Container und jede Aufgabe zu melden. -
ecs:TagResource– Ermöglicht dem Amazon-ECS-Container-Agenten, Cluster bei der Erstellung mit Tags zu versehen und Tags zu Container-Instances hinzuzufügen, wenn sie in einem Cluster registriert werden. -
ecs:UpdateContainerInstancesState: Ermöglicht es einem Prinzipal, den Status einer Amazon-ECS-Container-Instance zu ändern. Diese Berechtigung wird vom Amazon-ECS-Container-Agent für Spot-Instance Draining verwendet. Weitere Informationen finden Sie unter Ausgleich von Spot-Instances. -
ecs:Submit*: Dies umfasst die API-AktionenSubmitAttachmentStateChanges,SubmitContainerStateChangeundSubmitTaskStateChange. Sie werden vom Amazon-ECS-Container-Agent verwendet, um Statusänderungen für jede Ressource an die Amazon-ECS-Steuerungsebene zu melden. DieSubmitContainerStateChangeBerechtigung wird nicht mehr vom Amazon-ECS-Container-Agenten verwendet, sondern dient weiterhin dazu, die Abwärtskompatibilität sicherzustellen. -
ecr:GetAuthorizationToken: Ermöglicht einem Prinzipal, ein Autorisierungstoken abzurufen. Ein Autorisierungs-Token stellt Ihre Anmeldeinformationen zur IAM-Authentifizierung dar und kann verwendet werden, um auf jede Amazon ECR-Registrierung zuzugreifen, auf die das IAM-Prinzipal Zugriff hat. Das erhaltene Autorisierungs-Token ist 12 Stunden gültig. -
ecr:BatchCheckLayerAvailability: Wenn ein Container-Image in ein privates Amazon ECR-Repository gesendet wird, wird bei jeder Image-Ebene überprüft, ob es bereits gepusht wurde. Wenn dies der Fall ist, wird die Image-Ebene übersprungen. -
ecr:GetDownloadUrlForLayer: Wenn ein Container-Image aus einem privaten Amazon ECR-Repository abgerufen wird, wird diese API für jede Image-Layer, die noch nicht zwischengespeichert ist, einmal aufgerufen. -
ecr:BatchGetImage: Wenn ein Container-Image aus einem privaten Amazon ECR-Repository abgerufen wird, wird diese API einmal aufgerufen, um das Image-Manifest abzurufen. -
logs:CreateLogStream– Ermöglicht es einem Prinzipal, einen CloudWatch Logs-Protokollstream für eine angegebene Protokollgruppe zu erstellen. -
logs:PutLogEvents: Ermöglicht es einem Prinzipal, einen Stapel von Protokollereignissen in einen angegebenen Protokoll-Stream hochzuladen.
Es folgt eine Beispielrichtlinie AmazonEC2ContainerServiceforEC2Role.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ecs:CreateCluster", "ecs:DeregisterContainerInstance", "ecs:DiscoverPollEndpoint", "ecs:Poll", "ecs:RegisterContainerInstance", "ecs:StartTelemetrySession", "ecs:UpdateContainerInstancesState", "ecs:Submit*", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": [ "CreateCluster", "RegisterContainerInstance" ] } } } ] }
AmazonEC2ContainerServiceEventsRole
Diese Richtlinie gewährt Berechtigungen, die es Amazon EventBridge (früher CloudWatch Events) ermöglichen, Aufgaben in Ihrem Namen auszuführen. Diese Richtlinie kann der IAM-Rolle zugeordnet werden, die beim Erstellen geplanter Tasks angegeben wird. Weitere Informationen finden Sie unter Amazon-ECS- EventBridge IAM-Rolle.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
ecs– Ermöglicht es einem Prinzipal in einem Service, die Amazon-ECS RunTask -API aufzurufen. Ermöglicht es einem Prinzipal in einem Service, Tags (TagResource) hinzuzufügen, wenn er die Amazon-ECS RunTask -API aufruft. -
iam: Ermöglicht das Übergeben einer beliebigen IAM-Service-Rolle an alle Amazon-ECS-Aufgaben.
Es folgt eine Beispielrichtlinie AmazonEC2ContainerServiceEventsRole.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:RunTask"], "Resource": ["*"] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": ["*"], "Condition": { "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"} } }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": ["RunTask"] } } } ] }
AmazonECSTaskExecutionRolePolicy
Die AmazonECSTaskExecutionRolePolicy verwaltete IAM-Richtlinie gewährt die Berechtigungen, die vom Amazon-ECS-Container-Agenten und AWS Fargate Container-Agenten benötigt werden, um AWS API-Aufrufe in Ihrem Namen durchzuführen. Diese Richtlinie kann Ihrer IAM-Rolle zur Aufgabenausführung hinzugefügt werden. Weitere Informationen finden Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung.
Details zu Berechtigungen
Die von AmazonECSTaskExecutionRolePolicy verwaltete IAM-Richtlinie muss die folgende Berechtigungen umfassen. Nach den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien kann die von AmazonECSTaskExecutionRolePolicy verwaltete Richtlinie als Leitfaden verwendet werden. Wenn eine der Berechtigungen, die in der verwalteten Richtlinie erteilt werden, für Ihren Anwendungsfall nicht erforderlich ist, erstellen Sie eine benutzerdefinierte Richtlinie, und fügen Sie nur die erforderlichen Berechtigungen hinzu.
-
ecr:GetAuthorizationToken: Ermöglicht einem Prinzipal, ein Autorisierungstoken abzurufen. Ein Autorisierungs-Token stellt Ihre Anmeldeinformationen zur IAM-Authentifizierung dar und kann verwendet werden, um auf jede Amazon ECR-Registrierung zuzugreifen, auf die das IAM-Prinzipal Zugriff hat. Das erhaltene Autorisierungs-Token ist 12 Stunden gültig. -
ecr:BatchCheckLayerAvailability: Wenn ein Container-Image in ein privates Amazon ECR-Repository gesendet wird, wird bei jeder Image-Ebene überprüft, ob es bereits gepusht wurde. Wenn es gepusht wird, wird die Image-Ebene übersprungen. -
ecr:GetDownloadUrlForLayer: Wenn ein Container-Image aus einem privaten Amazon ECR-Repository abgerufen wird, wird diese API für jede Image-Layer, die noch nicht zwischengespeichert ist, einmal aufgerufen. -
ecr:BatchGetImage: Wenn ein Container-Image aus einem privaten Amazon ECR-Repository abgerufen wird, wird diese API einmal aufgerufen, um das Image-Manifest abzurufen. -
logs:CreateLogStream– Ermöglicht es einem Prinzipal, einen CloudWatch Logs-Protokollstream für eine angegebene Protokollgruppe zu erstellen. -
logs:PutLogEvents: Ermöglicht es einem Prinzipal, einen Stapel von Protokollereignissen in einen angegebenen Protokoll-Stream hochzuladen.
Es folgt eine Beispielrichtlinie AmazonECSTaskExecutionRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
AmazonECSServiceRolePolicy
Die AmazonECSServiceRolePolicy-verwaltete IAM-Richtlinie ermöglicht es Amazon Elastic Container Service, Ihren Cluster zu verwalten. Diese Richtlinie kann Ihrer IAM-Rolle zur Aufgabenausführung hinzugefügt werden. Weitere Informationen finden Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung.
Details zu Berechtigungen
Die von AmazonECSServiceRolePolicy verwaltete IAM-Richtlinie muss die folgende Berechtigungen umfassen. Nach den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien kann die von AmazonECSServiceRolePolicy verwaltete Richtlinie als Leitfaden verwendet werden. Wenn eine der Berechtigungen, die in der verwalteten Richtlinie erteilt werden, für Ihren Anwendungsfall nicht erforderlich ist, erstellen Sie eine benutzerdefinierte Richtlinie, und fügen Sie nur die erforderlichen Berechtigungen hinzu.
-
autoscaling: Ermöglicht es Prinzipalen, Amazon EC2 Auto Scaling Ressourcen zu erstellen, zu verwalten und zu beschreiben. Dies ist erforderlich, wenn Sie Amazon EC2 Auto Scaling-Gruppen verwalten, wenn Sie die Cluster Auto Scaling-Funktion verwenden. -
autoscaling-plans– Ermöglicht es Prinzipalen, Auto-Scaling-Pläne zu erstellen, zu löschen und zu beschreiben. -
cloudwatch– Ermöglicht es Prinzipalen, Amazon- CloudWatch Alarme zu erstellen, zu verwalten und zu beschreiben. -
ec2– Ermöglicht es Prinzipalen, auf Amazon EC2-Instances auszuführen und Netzwerkschnittstellen und Tags zu erstellen und zu verwalten. -
elasticloadbalancing: Ermöglicht Prinzipalen das Erstellen, Beschreiben und Löschen von Elastic Load Balancing-Lastenausgleichsdiensten. Prinzipale können auch Zielgruppen hinzufügen und beschreiben. -
logs– Ermöglicht es Prinzipalen, Amazon- CloudWatch Logs-Protokollgruppen zu erstellen und zu beschreiben. Prinzipale können auch Protokollereignisse für diese Protokollgruppen auflisten. -
route53: Ermöglicht Prinzipalen das Erstellen, Verwalten und Löschen von gehosteten Amazon Route 53-Zonen. Prinzipale können auch die Konfiguration und Informationen zur Amazon Route 53 Integritätsprüfung anzeigen. Weitere Informationen über gehostete Zonen finden Sie unter Arbeiten mit gehosteten Zonen. -
servicediscovery– Ermöglicht es Prinzipalen, - AWS Cloud Map Services zu erstellen, zu verwalten und zu löschen sowie private DNS-Namespaces zu erstellen. -
events– Ermöglicht es Prinzipalen, Amazon- EventBridge Regeln und ihre Ziele zu erstellen, zu verwalten und zu löschen.
Es folgt eine Beispielrichtlinie AmazonECSServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ECSTaskManagement", "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:Describe*", "ec2:DetachNetworkInterface", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DeregisterTargets", "elasticloadbalancing:Describe*", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:DeleteHealthCheck", "route53:Get*", "route53:List*", "route53:UpdateHealthCheck", "servicediscovery:DeregisterInstance", "servicediscovery:Get*", "servicediscovery:List*", "servicediscovery:RegisterInstance", "servicediscovery:UpdateInstanceCustomHealthStatus" ], "Resource": "*" }, { "Sid": "AutoScaling", "Effect": "Allow", "Action": [ "autoscaling:Describe*" ], "Resource": "*" }, { "Sid": "AutoScalingManagement", "Effect": "Allow", "Action": [ "autoscaling:DeletePolicy", "autoscaling:PutScalingPolicy", "autoscaling:SetInstanceProtection", "autoscaling:UpdateAutoScalingGroup", "autoscaling:PutLifecycleHook", "autoscaling:DeleteLifecycleHook", "autoscaling:CompleteLifecycleAction", "autoscaling:RecordLifecycleActionHeartbeat" ], "Resource": "*", "Condition": { "Null": { "autoscaling:ResourceTag/AmazonECSManaged": "false" } } }, { "Sid": "AutoScalingPlanManagement", "Effect": "Allow", "Action": [ "autoscaling-plans:CreateScalingPlan", "autoscaling-plans:DeleteScalingPlan", "autoscaling-plans:DescribeScalingPlans", "autoscaling-plans:DescribeScalingPlanResources" ], "Resource": "*" }, { "Sid": "EventBridge", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": "arn:aws:events:*:*:rule/ecs-managed-*" }, { "Sid": "EventBridgeRuleManagement", "Effect": "Allow", "Action": [ "events:PutRule", "events:PutTargets" ], "Resource": "*", "Condition": { "StringEquals": { "events:ManagedBy": "ecs.amazonaws.com" } } }, { "Sid": "CWAlarmManagement", "Effect": "Allow", "Action": [ "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Sid": "ECSTagging", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*" }, { "Sid": "CWLogGroupManagement", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*" }, { "Sid": "CWLogStreamManagement", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*:log-stream:*" }, { "Sid": "ExecuteCommandSessionManagement", "Effect": "Allow", "Action": [ "ssm:DescribeSessions" ], "Resource": "*" }, { "Sid": "ExecuteCommand", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ecs:*:*:task/*", "arn:aws:ssm:*:*:document/AmazonECS-ExecuteInteractiveCommand" ] }, { "Sid": "CloudMapResourceCreation", "Effect": "Allow", "Action": [ "servicediscovery:CreateHttpNamespace", "servicediscovery:CreateService" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonECSManaged" ] } } }, { "Sid": "CloudMapResourceTagging", "Effect": "Allow", "Action": "servicediscovery:TagResource", "Resource": "*", "Condition": { "StringLike": { "aws:RequestTag/AmazonECSManaged": "*" } } }, { "Sid": "CloudMapResourceDeletion", "Effect": "Allow", "Action": [ "servicediscovery:DeleteService" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AmazonECSManaged": "false" } } }, { "Sid": "CloudMapResourceDiscovery", "Effect": "Allow", "Action": [ "servicediscovery:DiscoverInstances", "servicediscovery:DiscoverInstancesRevision" ], "Resource": "*" } ] }
AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
Bietet Administratorzugriff auf AWS Private Certificate Authority, Secrets Manager und andere - AWS Services, die für die Verwaltung von Amazon-ECS-Service-Connect-TLS-Funktionen in Ihrem Namen erforderlich sind.
Details zu Berechtigungen
Die von AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity verwaltete IAM-Richtlinie muss die folgende Berechtigungen umfassen. Nach den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien kann die von AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity verwaltete Richtlinie als Leitfaden verwendet werden. Wenn eine der Berechtigungen, die in der verwalteten Richtlinie erteilt werden, für Ihren Anwendungsfall nicht erforderlich ist, erstellen Sie eine benutzerdefinierte Richtlinie, und fügen Sie nur die erforderlichen Berechtigungen hinzu.
-
secretsmanager:CreateSecret– Ermöglicht es dem Prinzipal, das Secret zu erstellen. Sie ist für Service Connect TLS erforderlich. Amazon ECS speichert den privaten Schlüssel des Kunden im Secrets Manager-Secret des Kunden. -
secretsmanager:TagResource– Ermöglicht es dem Prinzipal, Tags an das erstellte Secret anzuhängen. Sie ist für Service Connect TLS erforderlich, da Amazon ECS das Secret im Namen des Kunden erstellt und das Tag mit der Ressource anfügt. Diese Tags bieten dem Kunden eine einfachere Möglichkeit, das verwaltete Secret zu identifizieren und Aktionen für diese Secrets einzuschränken. -
secretsmanager:DescribeSecret– Erlauben Sie dem Prinzipal, das Secret zu beschreiben und die aktuelle Versionsstufe abzurufen. Es ist erforderlich, dass Amazon ECS die Rotation von Amazon-ECS-Service-Connect-TLS-Material durchführt. -
secretsmanager:UpdateSecret– Erlauben Sie dem Prinzipal, das Secret zu aktualisieren. Es ist erforderlich, dass Amazon ECS die Amazon-ECS-Service-Connect-TLS-Materialrotation durchführt und das Secret mit neuen Materialien aktualisiert. -
secretsmanager:GetSecretValue– Erlauben Sie dem Prinzipal, den Secret-Wert abzurufen. Es ist erforderlich, dass Amazon ECS die Rotation von Amazon-ECS-Service-Connect-TLS-Material durchführt. -
secretsmanager:PutSecretValue– Erlauben Sie dem Prinzipal, den Secret-Wert zu setzen. Es ist erforderlich, dass Amazon ECS die Rotation von Amazon-ECS-Service-Connect-TLS-Material durchführt. -
secretsmanager:UpdateSecretVersionStage– Erlauben Sie dem Prinzipal, die Secret-Versionsstufe zu aktualisieren. Es ist erforderlich, dass Amazon ECS die Rotation von Amazon-ECS-Service-Connect-TLS-Material durchführt. -
acm-pca:IssueCertificate– Erlauben Sie dem Prinzipal,End entity certificatefür Amazon ECS Service Connect TLS aufzurufen IssueCertificate. Sie ist erforderlich, damit ECS ein Zertifikat für den Upstream-Service des Kunden generieren kann. -
acm-pca:GetCertificate– Erlauben Sie dem Prinzipal, GetCertificateEnd entity certificatefür Amazon ECS Service Connect TLS aufzurufen. -
acm-pca:GetCertificateAuthorityCertificate– Erlauben Sie dem Prinzipal, ein Zertifizierungsstellenzertifikat zu erhalten. Sie ist für Amazon ECS Service Connect TLS erforderlich, damit der Downstream-Service des Kunden dem Upstream-End-Entitätszertifikat vertrauen kann. -
acm-pca:DescribeCertificateAuthority– Erlauben Sie dem Prinzipal, Details über die Zertifizierungsstelle zu erhalten. Es ist erforderlich, dass Amazon ECS Service Connect TLS Informationen wie den Signaturalgorithmus wiederverwendet, um die CSR zu erstellen (Zertifikatsignierungsanforderung).
Es folgt eine Beispielrichtlinie AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateSecret", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": [ "arn:aws:ecs:*:*:service/*/*", "arn:aws:ecs:*:*:task-set/*/*" ] }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "TagOnCreateSecret", "Effect": "Allow", "Action": "secretsmanager:TagResource", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": [ "arn:aws:ecs:*:*:service/*/*", "arn:aws:ecs:*:*:task-set/*/*" ] }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RotateTLSCertificateSecret", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:UpdateSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue", "secretsmanager:DeleteSecret", "secretsmanager:RotateSecret", "secretsmanager:UpdateSecretVersionStage" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "ecs-sc", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "ManagePrivateCertificateAuthority", "Effect": "Allow", "Action": [ "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:DescribeCertificateAuthority" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } }, { "Sid": "ManagePrivateCertificateAuthorityForIssuingEndEntityCertificate", "Effect": "Allow", "Action": [ "acm-pca:IssueCertificate" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true", "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] }
AWSApplicationAutoscalingECSServicePolicy
Sie können AWSApplicationAutoscalingECSServicePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer serviceverknüpften Rolle zugeordnet, die die Application Auto Scaling in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für Application Auto Scaling.
AWSCodeDeployRoleForECS
Sie können AWSCodeDeployRoleForECS nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine serviceverknüpfte Rolle angehängt, die es ermöglicht CodeDeploy , Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Erstellen einer Servicerolle für CodeDeploy im AWS CodeDeploy -Benutzerhandbuch.
AWSCodeDeployRoleForECSLimited
Sie können AWSCodeDeployRoleForECSLimited nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine serviceverknüpfte Rolle angehängt, die es ermöglicht CodeDeploy , Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Erstellen einer Servicerolle für CodeDeploy im AWS CodeDeploy -Benutzerhandbuch.
Amazon-ECS-Updates für - AWS verwaltete Richtlinien
Anzeigen von Details zu Aktualisierungen für - AWS verwaltete Richtlinien für Amazon ECS, seit dieser Service mit der Verfolgung dieser Änderungen begonnen hat. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Amazon-ECS-Dokumentverlauf-Seite.
| Änderung | Beschreibung | Datum |
|---|---|---|
|
Hinzufügen einer neuen AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity-Richtlinie |
Es wurde eine neue AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity -Richtlinie hinzugefügt, die Administratorzugriff auf AWS KMS, AWS Private Certificate Authority Secrets Manager bietet und die TLS-Funktionen von Amazon ECS Service Connect ordnungsgemäß funktioniert. |
22. Januar 2024 |
|
Hinzufügen einer neuen Richtlinie für AmazonECSInfrastructureRolePolicyForVolumes |
Die AmazonECSInfrastructureRolePolicyForVolumes Richtlinie wurde hinzugefügt. Die Richtlinie gewährt die Berechtigungen, die Amazon ECS benötigt, um AWS API-Aufrufe zur Verwaltung von Amazon-EBS-Volumes durchzuführen, die Amazon-ECS-Workloads zugeordnet sind. |
11. Januar 2024 |
|
Hinzufügen von Berechtigungen zu AmazonECSServiceRolePolicy |
Die AmazonECSServiceRolePolicy verwaltete IAM-Richtlinie wurde mit neuen events Berechtigungen sowie zusätzlichen autoscaling- und -autoscaling-plansBerechtigungen aktualisiert. |
4. Dezember 2023 |
|
Hinzufügen von Berechtigungen zu AmazonEC2ContainerServiceEventsRole |
Die AmazonECSServiceRolePolicy verwaltete IAM-Richtlinie wurde aktualisiert, um den Zugriff auf die AWS Cloud Map DiscoverInstancesRevision -API-Operation zu ermöglichen. |
04. Oktober 2023 |
|
Hinzufügen von Berechtigungen zu AmazonEC2ContainerServiceforEC2Role |
Die AmazonEC2ContainerServiceforEC2Role Richtlinie wurde geändert, um die ecs:TagResource Berechtigung hinzuzufügen, die eine Bedingung enthält, die die Berechtigung nur auf neu erstellte Cluster und registrierte Container-Instances beschränkt. |
6. März 2023 |
|
Berechtigungen zu AmazonECS _FullAccess hinzufügen |
Die AmazonECS_FullAccess Richtlinie wurde geändert, um die elasticloadbalancing:AddTags Berechtigung hinzuzufügen, die eine Bedingung enthält, die die Berechtigung nur auf neu erstellte Load Balancer, Zielgruppen, Regeln und Listener beschränkt, die erstellt wurden. Diese Berechtigung erlaubt nicht das Hinzufügen von Tags zu bereits erstellten Elastic-Load-Balancing-Ressourcen. |
4. Januar 2023 |
|
Amazon ECS hat mit der Verfolgung von Änderungen begonnen |
Amazon ECS hat mit der Verfolgung von Änderungen für seine AWS -verwalteten Richtlinien begonnen. |
8. Juni 2021 |
