AmazonECS_FullAccess AmazonECSInfrastructureRolePolicyForVolumes AmazonEC2ContainerServiceforEC2Role AmazonEC2ContainerServiceEventsRole AmazonECSTaskExecutionRolePolicy AmazonECSServiceRolePolicy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity AWSApplicationAutoscalingECSServicePolicy AWSCodeDeployRoleForECS AWSCodeDeployRoleForECSLimited AmazonECSInfrastructureRolePolicyForVpcLattice Actualizaciones de políticas

Políticas administradas por AWS para Amazon Elastic Container Service

Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que le brinden a su equipo solo los permisos necesarios. Para comenzar a hacerlo con rapidez, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su cuenta de AWS. Para obtener más información sobre las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Los servicios de AWS mantienen y actualizan las políticas administradas de AWS. No puede cambiar los permisos en las políticas gestionadas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política gestionada por AWScuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan los permisos de una política administrada de AWS, por lo tanto, las actualizaciones de las políticas no deteriorarán los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política administrada de AWS ReadOnlyAccess proporciona acceso de solo lectura a todos los servicios y los recursos de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

Amazon ECS y Amazon ECR proporcionan varias políticas administradas y relaciones de confianza que se pueden asociar a usuarios, grupos, roles, instancias de Amazon EC2 y tareas de Amazon ECS para permitir diferentes niveles de control sobre los recursos y las operaciones de la API. Puede aplicar estas políticas directamente o puede usarlas como punto de partida para crear las suyas propias. Para obtener más información acerca de las políticas administradas por Amazon ECR, consulte Políticas administradas por Amazon ECR.

AmazonECS_FullAccess

Puede adjuntar la política AmazonECS_FullAccess a las identidades de IAM. Esta política otorga acceso administrativo a los recursos de Amazon ECS y le otorga a una identidad de IAM (como un usuario, grupo o rol) acceso a los servicios de AWS con los que Amazon ECS está integrado para utilizar todas las características de Amazon ECS. El uso de esta política permite acceder a todas las características de Amazon ECS que están disponibles en la AWS Management Console.

Para ver los permisos de esta política, consulte AmazonECS_FullAccess en la Referencia de políticas administradas de AWS.

AmazonECSInfrastructureRolePolicyForVolumes

Puede adjuntar la política administrada de AmazonECSInfrastructureRolePolicyForVolumes a las entidades de IAM.

La política concede los permisos que necesita Amazon ECS para hacer llamadas a la API de AWS en su nombre. Puede adjuntar esta política al rol de IAM que proporciona con la configuración de su volumen al lanzar las tareas y los servicios de Amazon ECS. El rol permite a Amazon ECS administrar los volúmenes adjuntos a sus tareas. Para obtener más información, consulte Rol de IAM para la infraestructura de Amazon ECS.

Para ver los permisos de esta política, consulte AmazonECSInfrastructureRolePolicyForVolumes en la Referencia de políticas administradas de AWS.

AmazonEC2ContainerServiceforEC2Role

Puede adjuntar la política AmazonEC2ContainerServiceforEC2Role a las identidades de IAM. Esta política concede permisos administrativos que permiten a las instancias de contenedor de Amazon ECS realizar llamadas a AWS en su nombre. Para obtener más información, consulte Rol de IAM de instancia de contenedor de Amazon ECS.

Amazon ECS asocia esta política a una función de servicio que permite a Amazon ECS realizar acciones en su nombre contra las instancias de Amazon EC2 o las instancias externas.

Para ver los permisos de esta política, consulte AmazonEC2ContainerServiceforEC2Role en la Referencia de políticas administradas de AWS.

Consideraciones

Debe tener en cuenta las siguientes recomendaciones y consideraciones al utilizar la política de IAM administrada AmazonEC2ContainerServiceforEC2Role.

Siguiendo el consejo de seguridad estándar de concesión de privilegios mínimos, puede modificar la política administrada AmazonEC2ContainerServiceforEC2Role para que se adapte a sus necesidades específicas. Si alguno de los permisos otorgados en la política administrada no resulta necesario para su caso de uso, cree una política personalizada y agregue solo los permisos que necesite. Por ejemplo, el permiso UpdateContainerInstancesState se proporciona para el vaciado de instancias de spot. Si ese permiso no es necesario para su caso de uso, exclúyalo mediante una política personalizada.
Los contenedores que se ejecutan en sus instancias de contenedor tienen acceso a todos los permisos que se suministran al rol de instancia de contenedor a través de metadatos de instancia. Le recomendamos que limite los permisos en el rol de instancia de contenedor a la lista mínima de permisos que se proporciona en la política administrada AmazonEC2ContainerServiceforEC2Role. Si los contenedores de sus tareas necesitan permisos adicionales que no se muestran aquí, le recomendamos que proporcione a esas tareas sus propios roles de IAM. Para obtener más información, consulte Rol de IAM de tarea de Amazon ECS.

Puede evitar que los contenedores se encuentren en el puente docker0 accedan a los permisos proporcionados al rol de instancia de contenedor. Para hacer esto sin dejar de permitir los permisos proporcionados por Rol de IAM de tarea de Amazon ECS, ejecute el comando iptables en sus instancias de contenedor. Los contenedores no pueden consultar metadatos de instancia con esta regla en vigor. Este comando supone que se aplica la configuración puente de Docker predeterminada y no funcionará para contenedores que utilicen el modo de red host. Para obtener más información, consulte Modo de red.
```
sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
```
Debe guardar esta regla de iptables en la instancia de contenedor para que se conserve tras un reinicio. Utilice siguientes comandos para la AMI optimizada para Amazon ECS. Para otros sistemas operativos, consulte la documentación correspondiente a dicho sistema operativo.
- Para la AMI de Amazon Linux 2 optimizada para Amazon ECS:
```
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
```
- Para la AMI de Amazon Linux optimizada para Amazon ECS:
```
sudo service iptables save
```

AmazonEC2ContainerServiceEventsRole

Puede adjuntar la política AmazonEC2ContainerServiceEventsRole a las identidades de IAM. Esta política concede permisos que permiten a Amazon EventBridge (anteriormente CloudWatch Events) ejecutar tareas en su nombre. Esta política se puede asociar al rol de IAM que se especifica al crear tareas programadas. Para obtener más información, consulte Rol de IAM de EventBridge de Amazon ECS.

Para ver los permisos de esta política, consulte AmazonEC2ContainerServiceEventsRole en la Referencia de políticas administradas de AWS.

AmazonECSTaskExecutionRolePolicy

La política de IAM administrada AmazonECSTaskExecutionRolePolicy otorga los permisos que necesita el agente de contenedor de Amazon ECS y los agentes de contenedor de AWS Fargate para hacer llamadas a la API de AWS en su nombre. Esta política se puede agregar a su rol de IAM de ejecución de tareas. Para obtener más información, consulte Rol de IAM de ejecución de tareas de Amazon ECS.

Para ver los permisos de esta política, consulte AmazonECSTaskExecutionRolePolicy en la Referencia de políticas administradas de AWS.

AmazonECSServiceRolePolicy

La política de IAM AmazonECSServiceRolePolicy administrada permite que Amazon Elastic Container Service administre su clúster. Esta política se puede agregar a su rol de IAM de ejecución de tareas. Para obtener más información, consulte Rol de IAM de ejecución de tareas de Amazon ECS.

Para ver los permisos de esta política, consulte AmazonECSServiceRolePolicy en la Referencia de políticas administradas de AWS.

`AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`

También puede asociar la política AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity a sus entidades de IAM. Esta política concede acceso administrativo a AWS Private Certificate Authority, Secrets Manager y otros servicios de AWS necesarios para administrar las características de TLS de Amazon ECS Service Connect en su nombre.

Para ver los permisos de esta política, consulte AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity en la Referencia de políticas administradas de AWS.

`AWSApplicationAutoscalingECSServicePolicy`

No puede asociar AWSApplicationAutoscalingECSServicePolicy a sus entidades IAM. Esta política se asocia a un rol vinculado al servicio que permite a Application Auto Scaling realizar acciones en su nombre. Para obtener más información, consulte Roles vinculados a servicios para Aplication Auto Scaling.

Para ver los permisos de esta política, consulte AWSApplicationAutoscalingECSServicePolicy en la Referencia de políticas administradas de AWS.

`AWSCodeDeployRoleForECS`

No puede asociar AWSCodeDeployRoleForECS a sus entidades IAM. Esta política se asocia a un rol vinculado al servicio que permite a CodeDeploy realizar acciones en su nombre. Para obtener más información, consulte Creación de una función de servicio para CodeDeploy en la Guía del usuario de AWS CodeDeploy.

Para ver los permisos de esta política, consulte AWSCodeDeployRoleForECS en la Referencia de políticas administradas de AWS.

`AWSCodeDeployRoleForECSLimited`

No puede asociar AWSCodeDeployRoleForECSLimited a sus entidades IAM. Esta política se asocia a un rol vinculado al servicio que permite a CodeDeploy realizar acciones en su nombre. Para obtener más información, consulte Creación de una función de servicio para CodeDeploy en la Guía del usuario de AWS CodeDeploy.

Para ver los permisos de esta política, consulte AWSCodeDeployRoleForECSLimited en la Referencia de políticas administradas de AWS.

`AmazonECSInfrastructureRolePolicyForVpcLattice`

También puede asociar la política AmazonECSInfrastructureRolePolicyForVpcLattice a sus entidades de IAM. Esta política proporciona acceso a otros recursos de servicio de AWS necesarios para administrar en su nombre la característica de VPC Lattice en las cargas de trabajo de Amazon ECS.

Para ver los permisos de esta política, consulte AmazonECSInfrastructureRolePolicyForVpcLattice en la Referencia de políticas administradas de AWS.

Proporciona acceso a otros recursos de servicio de AWS necesarios para administrar en su nombre la característica de VPC Lattice en las cargas de trabajo de Amazon ECS.

Actualizaciones de Amazon ECS para políticas administradas por AWS

Consultar los detalles sobre las actualizaciones de las políticas administradas por AWS para Amazon ECS ya que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de Amazon ECS.

Cambio	Descripción	Fecha
Adición de una nueva política AmazonECSInfrastructureRolePolicyForVpcLattice	Proporciona acceso a otros recursos de servicio de AWS necesarios para administrar en su nombre la característica de VPC Lattice en las cargas de trabajo de Amazon ECS.	18 de noviembre de 2024
Adición de permisos a AmazonECSInfrastructureRolePolicyForVolumes	La política `AmazonECSInfrastructureRolePolicyForVolumes` se ha actualizado para permitir a los clientes crear un volumen de Amazon EBS a partir de una instantánea.	10 de octubre de 2024
Permisos agregados de AmazonECS_FullAccess.	La política `AmazonECS_FullAccess` se actualizó para añadir permisos `iam:PassRole` para los roles de IAM para una función denominada `ecsInfrastructureRole`. Este es el rol de IAM predeterminado que crea AWS Management Console destinado a usarse como un rol de infraestructura de ECS que permite a Amazon ECS administrar los volúmenes de Amazon EBS adjuntos a las tareas de ECS.	13 de agosto de 2024
Adición de la nueva política AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity	Se agregó la nueva política AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity, que proporciona acceso administrativo a AWS KMS, AWS Private Certificate Authority y Secrets Manager y permite que las características de la TLS de Amazon ECS Service Connect funcionen correctamente.	22 de enero de 2024
Adición de la nueva política AmazonECSInfrastructureRolePolicyForVolumes	Se agregó la política `AmazonECSInfrastructureRolePolicyForVolumes`. La política concede los permisos que Amazon ECS necesita para hacer llamadas a la API de AWS con el fin de administrar los volúmenes de Amazon EBS asociados a las cargas de trabajo de Amazon ECS.	11 de enero de 2024
Agregar permisos a AmazonECSServiceRolePolicy	La política de IAM administrada `AmazonECSServiceRolePolicy` se actualizó con los nuevos permisos `events` y los permisos adicionales `autoscaling` y `autoscaling-plans`.	4 de diciembre de 2023
Adición de permisos a AmazonEC2ContainerServiceEventsRole	La política de IAM administrada `AmazonECSServiceRolePolicy` se actualizó para permitir el acceso a la operación de la API de AWS Cloud Map `DiscoverInstancesRevision`.	4 de octubre de 2023
Agregar permisos a AmazonEC2ContainerServiceforEC2Role	La política `AmazonEC2ContainerServiceforEC2Role` se modificó para agregar el permiso `ecs:TagResource`, que incluye una condición que limita el permiso solo a clústeres recién creados e instancias de contenedor registradas.	6 de marzo de 2023
Agregar permisos a AmazonECS_FullAccess	La política `AmazonECS_FullAccess` se modificó para agregar el permiso `elasticloadbalancing:AddTags`, que incluye una condición que limita el permiso solo a equilibradores de carga, grupos de destino, reglas y oyentes recién creados. Este permiso no permite agregar etiquetas a ningún recurso de Elastic Load Balancing ya creado.	4 de enero de 2023
Amazon ECS comenzó a realizar el seguimiento de los cambios	Amazon ECS comenzó a realizar el seguimiento de los cambios de las políticas administradas por AWS.	8 de junio de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidades

Políticas administradas por AWS que se eliminaron gradualmente para Amazon ECS