Claves de condición, recursos y acciones de Amazon Elastic Container Service - AWS Identity and Access Management

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Claves de condición, recursos y acciones de Amazon Elastic Container Service

Amazon Elastic Container Service (prefijo de servicio: ecs) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas de servicios para su uso en IAM Las políticas de permisos de.

Referencias:

Acciones definidas por Amazon Elastic Container Service

Puede especificar las siguientes acciones en la Action elemento de un IAM instrucción de política. Uso de políticas de para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o al comando de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. De forma alternativa, algunas operaciones requieren varias acciones diferentes.

El Tipos de recurso indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el campo Resource elemento de la instrucción de política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con esa acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recurso en una instrucción que utiliza esta acción, debe ser de este tipo. Algunas acciones de admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recurso (*obligatorio) Claves de condición Acciones dependientes
CreateCapacityProvider Crea un nuevo proveedor de capacidad. Los proveedores de capacidad están asociados a un clúster de Amazon ECS y se utilizan en estrategias de proveedores de capacidad para facilitar el escalado automático del clúster. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCluster Crea un nuevo clúster de Amazon ECS. Escritura

ecs:capacity-provider

aws:RequestTag/${TagKey}

aws:TagKeys

CreateService Ejecuta y mantiene un número deseado de tareas de una definición de tarea especificada. Escritura

service*

ecs:cluster

ecs:capacity-provider

ecs:task-definition

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTaskSet Crea un nuevo conjunto de tareas de Amazon ECS. Escritura

ecs:cluster

ecs:service

ecs:task-definition

DeleteAccountSetting Modifica el formato de ARN y el ID de recurso de un recurso para un usuario de IAM especificado, un rol de IAM o el usuario raíz de una cuenta de. Puede especificar si el nuevo formato de ARN e ID de recurso está deshabilitado para los nuevos recursos que se crean. Escritura
DeleteAttributes Elimina uno o varios atributos personalizados de un recurso de Amazon ECS. Escritura

container-instance*

ecs:cluster

DeleteCapacityProvider Elimina el proveedor de capacidad especificado. Escritura

capacity-provider*

DeleteCluster Elimina el clúster especificado. Escritura

cluster*

DeleteService Elimina un servicio especificado dentro de un clúster. Escritura

service*

ecs:cluster

DeleteTaskSet Elimina el conjunto de tareas especificado. Escritura

task-set*

ecs:cluster

ecs:service

DeregisterContainerInstance Anula el registro de una instancia de contenedor de Amazon ECS del clúster especificado. Escritura

cluster*

DeregisterTaskDefinition Anula el registro de la definición de tarea especificada por familia y revisión. Escritura
DescribeCapacityProviders Describe uno o varios proveedores de capacidad de Amazon ECS. Lectura

capacity-provider*

DescribeClusters Describe uno o varios de sus clústeres de. Lectura

cluster*

DescribeContainerInstances Describe las instancias de contenedor de Amazon ECS. Lectura

container-instance*

ecs:cluster

DescribeServices Describe los servicios especificados que se ejecutan en el clúster de. Lectura

service*

ecs:cluster

DescribeTaskDefinition Describe una definición de tarea. Puede especificar una familia y una revisión para encontrar información sobre una definición de tarea específica, o simplemente puede especificar la familia para encontrar la última revisión ACTIVE en esa familia. Lectura
DescribeTaskSets Describe los conjuntos de tareas de Amazon ECS. Lectura

task-set*

ecs:cluster

ecs:service

DescribeTasks Describe una tarea o tareas especificadas. Lectura

task*

ecs:cluster

DiscoverPollEndpoint Devuelve un punto de enlace para que el agente de Amazon ECS sondee las actualizaciones. Escritura
ListAccountSettings Muestra la configuración de la cuenta para un recurso de Amazon ECS para una entidad principal especificada. List
ListAttributes Enumera los atributos de los recursos de Amazon ECS dentro de un tipo de destino y clúster especificados. List

cluster*

ListClusters Devuelve una lista de clústeres existentes. List
ListContainerInstances Devuelve una lista de instancias de contenedor en un clúster especificado. List

cluster*

ListServices Enumera los servicios que se ejecutan en un clúster especificado. List

ecs:cluster

ListTagsForResource Enumerar etiquetas para el recurso especificado. List

cluster

container-instance

task

task-definition

ListTaskDefinitionFamilies Devuelve una lista de familias de definiciones de tareas que están registradas en su cuenta (que puede incluir familias de definiciones de tareas que ya no tienen definiciones de tareas ACTIVE). List
ListTaskDefinitions Devuelve una lista de definiciones de tareas registradas en su cuenta de. List
ListTasks Devuelve una lista de tareas para un clúster especificado. List

container-instance*

ecs:cluster

Poll [solo permiso] Concede permiso a un agente para conectarse con el servicio de Amazon ECS para informar del estado y obtener comandos. Escritura

container-instance*

ecs:cluster

PutAccountSetting Modifica el formato de ARN y el ID de recurso de un recurso para un usuario de IAM especificado, un rol de IAM o el usuario raíz de una cuenta de. Puede especificar si el nuevo ARN y el formato de ID de recurso están habilitados para los nuevos recursos que se crean. La habilitación de esta configuración es necesaria para utilizar nuevas características de Amazon ECS, como el etiquetado de recursos de. Escritura
PutAccountSettingDefault Modifica el formato de ARN e ID de recurso de un tipo de recurso para todos los usuarios de IAM en una cuenta para la que no se ha establecido ninguna configuración de cuenta individual. La habilitación de esta configuración es necesaria para utilizar nuevas características de Amazon ECS, como el etiquetado de recursos de. Escritura
PutAttributes Cree o actualice un atributo en un recurso de Amazon ECS. Escritura

container-instance*

ecs:cluster

PutClusterCapacityProviders Modifica los proveedores de capacidad disponibles y la estrategia de proveedor de capacidad predeterminada para un clúster. Escritura

capacity-provider*

ecs:capacity-provider

RegisterContainerInstance Registra una instancia EC2 en el clúster especificado. Escritura

cluster*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterTaskDefinition Registra una nueva definición de tarea de la familia y containerDefinitions suministradas. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

RunTask Inicie una tarea utilizando la ubicación aleatoria y el programador de Amazon ECS predeterminado. Escritura

task-definition*

ecs:cluster

ecs:capacity-provider

aws:RequestTag/${TagKey}

aws:TagKeys

StartTask Inicia una nueva tarea desde la definición de tarea especificada en la instancia de contenedor especificada o instancias. Escritura

task-definition*

ecs:cluster

ecs:container-instances

aws:RequestTag/${TagKey}

aws:TagKeys

StartTelemetrySession Concede permiso para iniciar una sesión de telemetría. Escritura

container-instance*

ecs:cluster

StopTask Detiene una tarea en ejecución. Escritura

task*

ecs:cluster

SubmitAttachmentStateChanges Enviado para confirmar que los archivos adjuntos cambiaron de estado. Escritura

cluster*

SubmitContainerStateChange Enviado para confirmar que un contenedor ha cambiado de estado. Escritura

cluster*

SubmitTaskStateChange Se envía para confirmar que una tarea ha cambiado de estado. Escritura

cluster*

TagResource Etiqueta el recurso especificado. Etiquetado

cluster

container-instance

service

task

task-definition

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource Desetiqueta el recurso especificado. Etiquetado

cluster

container-instance

service

task

task-definition

aws:TagKeys

UpdateClusterSettings Modifica la configuración que se va a utilizar para un clúster. Escritura

cluster*

UpdateContainerAgent Actualiza el agente de contenedor de Amazon ECS en una instancia de contenedor especificada. Escritura

container-instance*

ecs:cluster

UpdateContainerInstancesState Permite al usuario modificar el estado de una instancia de contenedor de Amazon ECS. Escritura

container-instance*

ecs:cluster

UpdateService Modifica los parámetros de un servicio. Escritura

service*

ecs:cluster

ecs:capacity-provider

ecs:task-definition

UpdateServicePrimaryTaskSet Modifica el conjunto de tareas principal utilizado en un servicio. Escritura

service*

ecs:cluster

UpdateTaskSet Actualiza el conjunto de tareas especificado. Escritura

task-set*

ecs:cluster

ecs:service

Tipos de recurso definidos por Amazon Elastic Container Service

Los siguientes tipos de recursos están definidos por este servicio y se pueden utilizar en el Resource elemento de IAM Las instrucciones de política de permisos de. Cada acción de la Tabla de acciones identifica los tipos de recursos que se pueden especificar con esa acción. Un tipo de recurso también puede definir qué claves de condición puede incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso [EMPTY] Claves de condición
cluster arn:${Partition}:ecs:${Region}:${Account}:cluster/${ClusterName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

container-instance arn:${Partition}:ecs:${Region}:${Account}:container-instance/${ContainerInstanceId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

service arn:${Partition}:ecs:${Region}:${Account}:service/${ServiceName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task-definition arn:${Partition}:ecs:${Region}:${Account}:task-definition/${TaskDefinitionFamilyName}:${TaskDefinitionRevisionNumber}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

capacity-provider arn:${Partition}:ecs:${Region}:${Account}:capacity-provider/${CapacityProviderName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task-set arn:${Partition}:ecs:${region}:${Account}:task-set/${ClusterName}/${ServiceName}/${TaskSetId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

Claves de condición de Amazon Elastic Container Service

Amazon Elastic Container Service define las siguientes claves de condiciones que se pueden utilizar en la Condition elemento de un IAM de la política de. Puede utilizar estas claves para refinar aún más las condiciones en las que se aplica la instrucción de política. Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales de que están disponibles para todos los servicios de , consulte Claves de condición globales disponibles en el IAM Referencia de la política.

Claves de condición Descripción [EMPTY]
aws:RequestTag/${TagKey} Filtra acciones en función de la presencia de pares clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de pares clave-valor de etiqueta asociados al recurso. Cadena
aws:TagKeys Filtra acciones en función de la presencia de claves de etiqueta en la solicitud. Cadena
ecs:ResourceTag/${TagKey} Filtra acciones en función de pares clave-valor de etiqueta asociados al recurso. Cadena
ecs:capacity-provider El ARN de un proveedor de capacidad de Amazon ECS. [EMPTY]
ecs:cluster El ARN de un clúster de Amazon ECS. [EMPTY]
ecs:container-instances El ARN de una instancia de contenedor de Amazon ECS. [EMPTY]
ecs:service El ARN de un servicio de Amazon ECS. [EMPTY]
ecs:task-definition El ARN de una definición de tarea de Amazon ECS. [EMPTY]