Autorisations requises pour la console Amazon ECS avec CloudFormation - Amazon Elastic Container Service
Autorisations requises pour créer un clusterAutorisations requises pour créer un service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations requises pour la console Amazon ECS avec CloudFormation

Avant d'utiliser le AWS Management Console pour créer vos ressources, vous devez vous assurer que vous disposez des autorisations IAM appropriées. Pour plus d’informations sur la façon de configurer les autorisations pour la console Amazon ECS en général, consultez d’abord la section Autorisations requises pour la console Amazon ECS.

La console Amazon ECS est alimentée par AWS CloudFormation et nécessite des autorisations IAM supplémentaires dans les cas suivants :

  • Création d’un cluster

  • Création d'un service

  • Création d'un fournisseur de capacité

Vous pouvez créer une politique pour les autorisations supplémentaires, puis les associer au rôle IAM que vous utilisez pour accéder à la console. Pour plus d’informations, consultez Création de politiques IAM dans le Guide de l’utilisateur IAM.

Autorisations requises pour créer un cluster

Lorsque vous créez un cluster dans la console, vous avez besoin d'autorisations supplémentaires qui vous permettent de gérer les CloudFormation piles.

Les autorisations supplémentaires suivantes sont requises :

  • cloudformation : permet aux mandataires de créer et de gérer des piles CloudFormation . Ceci est requis lors de la création de clusters Amazon ECS à l'aide de la AWS Management Console et pour la gestion ultérieure de ces groupes.

  • ssm— Permet de CloudFormation référencer la dernière AMI optimisée pour Amazon ECS. Cela est nécessaire lors de la création de clusters Amazon ECS à l'aide du AWS Management Console.

La politique suivante contient les CloudFormation autorisations requises et limite les actions aux ressources créées dans la console Amazon ECS.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack"
             ],
            "Resource": [
                "arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*"
            ]
      },
      {
          "Effect": "Allow",
          "Action": "ssm:GetParameters",
          "Resource": [
            "arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2*/*",
            "arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2023*/*"
          ]
      }
   ]
}

Si vous n'avez pas créé le rôle d'instance de conteneur Amazon ECS (ecsInstanceRole) et que vous créez un cluster qui utilise des EC2 instances Amazon, la console créera le rôle en votre nom.

En outre, si vous utilisez des groupes Auto Scaling, vous avez besoin d’autorisations supplémentaires pour que la console puisse ajouter des balises aux groupes Auto Scaling lors de l’utilisation de la fonctionnalité d’autoscaling de cluster.

Les autorisations supplémentaires suivantes sont requises :

  • autoscaling— Permet à la console de baliser le groupe Amazon EC2 Auto Scaling. Cela est nécessaire lors de la gestion des groupes Amazon EC2 Auto Scaling lors de l'utilisation de la fonctionnalité de dimensionnement automatique des clusters. La balise est la balise gérée par ECS que la console ajoute automatiquement au groupe pour indiquer qu'il a été créé dans la console.

  • iam : permet aux mandataires de répertorier les rôles IAM et les stratégies qui leur sont attachées. Les principaux peuvent également répertorier les profils d'instance disponibles pour vos EC2 instances Amazon.

La politique suivante contient les autorisations IAM requises et limite les actions au rôle ecsInstanceRole.

Les autorisations Auto Scaling ne sont pas limitées.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": "autoscaling:CreateOrUpdateTags",
            "Resource": "*"
        }
    ]
}

Autorisations requises pour créer un service

Lorsque vous créez un service dans la console, vous avez besoin d'autorisations supplémentaires qui vous permettent de gérer les CloudFormation piles. Les autorisations supplémentaires suivantes sont requises :

  • cloudformation : permet aux mandataires de créer et de gérer des piles CloudFormation . Cela est requis lors de la création de services Amazon ECS à l'aide de l' AWS Management Console et pour la gestion ultérieure de ces groupes.

La politique suivante contient les autorisations requises et limite les actions aux ressources créées dans la console Amazon ECS.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack"
             ],
            "Resource": [
                "arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*"
            ]
      }
   ]
}