Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations requises pour la ECS console Amazon
Conformément à la bonne pratique pour accorder le moindre privilège, vous pouvez utiliser la stratégie gérée par AmazonECS_FullAccess comme modèle pour créer votre propre stratégie personnalisée. De cette façon, vous pouvez supprimer ou ajouter des autorisations pour la stratégie gérée en fonction de vos besoins spécifiques. Pour de plus amples informations, veuillez consulter Détails de l’autorisation.
La ECS console Amazon est alimentée par AWS CloudFormation et nécessite des IAM autorisations supplémentaires dans les cas suivants :
-
Création d’un cluster
-
Création d'un service
-
Création d'un fournisseur de capacité
Vous pouvez créer une politique pour les autorisations supplémentaires, puis les associer au IAM rôle que vous utilisez pour accéder à la console. Pour plus d'informations, consultez la section Création IAM de politiques dans le guide de IAM l'utilisateur.
Autorisations requises pour créer un cluster
Lorsque vous créez un cluster dans la console, vous avez besoin d'autorisations supplémentaires qui vous permettent de gérer les AWS CloudFormation piles.
Les autorisations supplémentaires suivantes sont requises :
-
cloudformation: permet aux mandataires de créer et de gérer des piles AWS CloudFormation . Cela est nécessaire lors de la création de ECS clusters Amazon à l'aide de ces clusters AWS Management Console et de leur gestion ultérieure.
La politique suivante contient les AWS CloudFormation autorisations requises et limite les actions aux ressources créées dans la ECS console Amazon.
{ "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack" ], "Resource": [ "arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*" ] } ] }
Si vous n'avez pas créé le rôle d'instance de ECS conteneur Amazon (ecsInstanceRole) et que vous créez un cluster qui utilise des EC2 instances Amazon, la console créera le rôle en votre nom.
En outre, si vous utilisez des groupes Auto Scaling, vous avez besoin d'autorisations supplémentaires pour que la console puisse ajouter des balises aux groupes de mise à l'échelle automatique lorsque vous utilisez la fonctionnalité de mise à l'échelle automatique du cluster.
Les autorisations supplémentaires suivantes sont requises :
-
autoscaling— Permet à la console de baliser le groupe Amazon EC2 Auto Scaling. Cela est nécessaire lors de la gestion des groupes Amazon EC2 Auto Scaling lors de l'utilisation de la fonctionnalité de dimensionnement automatique des clusters. La balise est la balise ECS -managed que la console ajoute automatiquement au groupe pour indiquer qu'elle a été créée dans la console. -
iam— Permet aux principaux de répertorier les IAM rôles et les politiques qui leur sont associées. Les principaux peuvent également répertorier les profils d'instance disponibles pour vos EC2 instances Amazon.
La politique suivante contient les IAM autorisations requises et limite les actions au ecsInstanceRole rôle.
Les autorisations Auto Scaling ne sont pas limitées.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsInstanceRole" }, { "Effect": "Allow", "Action": "autoscaling:CreateOrUpdateTags", "Resource": "*" } ] }
Autorisations requises pour créer un fournisseur de capacité
Lorsque vous créez un service dans la console, vous avez besoin d'autorisations supplémentaires qui vous permettent de gérer les AWS CloudFormation piles. Les autorisations supplémentaires suivantes sont requises :
-
cloudformation: permet aux mandataires de créer et de gérer des piles AWS CloudFormation . Cela est nécessaire lors de la création de fournisseurs ECS de capacité Amazon à l'aide de ces fournisseurs de capacité AWS Management Console et de leur gestion ultérieure.
La politique suivante contient les autorisations requises et limite les actions aux ressources créées dans la ECS console Amazon.
{ "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack" ], "Resource": [ "arn:*:cloudformation:*:*:stack/Infra-ECS-CapacityProvider-*" ] } ] }
Autorisations requises pour créer un service
Lorsque vous créez un service dans la console, vous avez besoin d'autorisations supplémentaires qui vous permettent de gérer les AWS CloudFormation piles. Les autorisations supplémentaires suivantes sont requises :
-
cloudformation: permet aux mandataires de créer et de gérer des piles AWS CloudFormation . Cela est nécessaire lors de la création de ECS services Amazon à l'aide de ces services AWS Management Console et de leur gestion ultérieure.
La politique suivante contient les autorisations requises et limite les actions aux ressources créées dans la ECS console Amazon.
{ "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack" ], "Resource": [ "arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*" ] } ] }
Autorisations pour créer IAM des rôles
Les actions suivantes nécessitent des autorisations supplémentaires pour terminer l'opération :
-
Enregistrement d'une instance externe : pour plus d'informations, veuillez consulter IAMRôle Amazon ECS Anywhere.
-
Enregistrement d'une définition de tâche : pour plus d'informations, veuillez consulter IAMRôle d'exécution des ECS tâches Amazon.
-
Création d'une EventBridge règle à utiliser pour planifier des tâches - pour plus d'informations, voir ECS EventBridge IAMRôle Amazon
Vous pouvez ajouter ces autorisations en créant un rôle dans IAM avant de les utiliser dans la ECS console Amazon. Si vous ne créez pas les rôles, la ECS console Amazon les crée en votre nom.
Autorisations requises pour enregistrer une instance externe dans un cluster
Vous avez besoin d'autorisations supplémentaires lorsque vous enregistrez une instance externe dans un cluster et que vous souhaitez créer un nouveau rôle d'instance externe (escExternalInstanceRole).
Les autorisations supplémentaires suivantes sont requises :
-
iam— Permet aux directeurs de créer et de répertorier les IAM rôles et les politiques qui leur sont associées. -
ssm: permet aux principaux d'enregistrer l'instance externe auprès de Systems Manager.
Note
Pour choisir un escExternalInstanceRole existant, vous devez disposer des autorisations iam:GetRole et iam:PassRole.
La politique suivante contient les autorisations requises et limite les actions au rôle escExternalInstanceRole.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/escExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/escExternalInstanceRole" } ] }
Autorisations requises pour enregistrer une définition de tâche
Vous avez besoin d'autorisations supplémentaires lorsque vous enregistrez une définition de tâche et que vous souhaitez créer un nouveau rôle d'exécution de tâche (ecsTaskExecutionRole).
Les autorisations supplémentaires suivantes sont requises :
-
iam— Permet aux directeurs de créer et de répertorier les IAM rôles et les politiques qui leur sont associées.
Note
Pour choisir un ecsTaskExecutionRole existant, vous devez disposer de l'autorisation iam:GetRole.
La politique suivante contient les autorisations requises et limite les actions au rôle ecsTaskExecutionRole.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
Autorisations requises pour créer une EventBridge règle pour les tâches planifiées
Vous avez besoin d'autorisations supplémentaires lorsque vous planifiez une tâche et que vous souhaitez créer un nouveau rôle CloudWatch Events (ecsEventsRole).
Les autorisations supplémentaires suivantes sont requises :
-
iam— Permet aux principaux de créer et de répertorier les IAM rôles et les politiques qui leur sont associées, et d'autoriser Amazon ECS à transmettre le rôle à d'autres services pour qu'ils assument le rôle.
Note
Pour choisir un ecsEventsRole existant, vous devez disposer des autorisations iam:GetRole et iam:PassRole.
La politique suivante contient les autorisations requises et limite les actions au rôle ecsEventsRole.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam: PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
