Actions Types de ressources Clés de condition

Actions, ressources et clés de condition pour Amazon Elastic Container Service

Amazon Elastic Container Service (préfixe de service : ecs) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes en vue de leur utilisation dans les politiques d'autorisation IAM.

Références :

Découvrez comment configurer ce service.
Affichez la liste des opérations d'API disponibles pour ce service.
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.

Rubriques

Actions définies par Amazon Elastic Container Service
Types de ressources définis par Amazon Elastic Container Service
Clés de condition pour Amazon Elastic Container Service

Actions définies par Amazon Elastic Container Service

Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions	Description	Niveau d'accès	Types de ressources (*obligatoire)	Clés de condition	Actions dépendantes
CreateCapacityProvider	Accorde l'autorisation de créer un fournisseur de capacité. Les fournisseurs de capacité sont associés à un cluster Amazon ECS et sont utilisés dans les stratégies de fournisseurs de capacité pour faciliter la mise à l'échelle automatique d'un cluster.	Écriture		aws:RequestTag/${TagKey} aws:TagKeys
CreateCluster	Accorde l'autorisation de créer un cluster Amazon ECS.	Écriture	cluster*
CreateCluster	Accorde l'autorisation de créer un cluster Amazon ECS.	Écriture		aws:RequestTag/${TagKey} aws:TagKeys ecs:capacity-provider ecs:fargate-ephemeral-storage-kms-key
CreateService	Accorde l'autorisation d'exécuter et de maintenir un nombre souhaité de tâches à partir d'une définition de tâche spécifiée via la création de services.	Écriture	service*
CreateService		Écriture		aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys ecs:cluster ecs:capacity-provider ecs:task-definition ecs:enable-ebs-volumes ecs:enable-execute-command ecs:enable-service-connect ecs:namespace
CreateTaskSet	Accorde l'autorisation de créer un ensemble de tâches Amazon ECS.	Écriture		aws:RequestTag/${TagKey} aws:TagKeys ecs:cluster ecs:capacity-provider ecs:service ecs:task-definition
DeleteAccountSetting	Accorde l'autorisation de modifier le format de l'ARN et de l'ID de ressource d'une ressource pour un utilisateur IAM spécifié, un rôle IAM ou l'utilisateur racine d'un compte. Vous pouvez spécifier si le nouvel ARN et le nouveau format d'ID de ressource sont désactivés pour les ressources qui sont créées.	Écriture		ecs:account-setting
DeleteAttributes	Accorde l'autorisation de supprimer un ou plusieurs attributs personnalisés d'une ressource Amazon ECS.	Écriture	container-instance*
DeleteAttributes		Écriture		aws:ResourceTag/${TagKey} ecs:cluster
DeleteCapacityProvider	Accorde l'autorisation de supprimer le fournisseur de capacité spécifié.	Écriture	capacity-provider*
DeleteCapacityProvider		Écriture		aws:ResourceTag/${TagKey}
DeleteCluster	Accorde l'autorisation de supprimer le cluster spécifié.	Écriture	cluster*
DeleteCluster	Accorde l'autorisation de supprimer le cluster spécifié.	Écriture		aws:ResourceTag/${TagKey}
DeleteService	Accorde l'autorisation de supprimer un service spécifié au sein d'un cluster.	Écrire	service*
DeleteService		Écrire		aws:ResourceTag/${TagKey} ecs:cluster
DeleteTaskDefinitions	Accorde l'autorisation d'annuler l'enregistrement de la définition de tâche spécifiée par famille et par révision.	Écrire	task-definition*
DeleteTaskDefinitions		Écrire		aws:ResourceTag/${TagKey}
DeleteTaskSet	Accorde l'autorisation de supprimer l'ensemble de tâches spécifié.	Écriture	task-set*
DeleteTaskSet		Écriture		aws:ResourceTag/${TagKey} ecs:cluster ecs:service
DeregisterContainerInstance	Accorde l'autorisation d'annuler l'enregistrement d'une instance de conteneur Amazon ECS du cluster spécifié.	Écriture	cluster*
DeregisterContainerInstance		Écriture		aws:ResourceTag/${TagKey}
DeregisterTaskDefinition	Accorde l'autorisation d'annuler l'enregistrement de la définition de tâche spécifiée par famille et par révision.	Écriture
DescribeCapacityProviders	Accorde l'autorisation de décrire un ou plusieurs fournisseurs de capacité Amazon ECS.	Lecture	capacity-provider*
DescribeCapacityProviders		Lecture		aws:ResourceTag/${TagKey}
DescribeClusters	Accorde l'autorisation de décrire un ou plusieurs de vos clusters.	Lecture	cluster*
DescribeClusters		Lecture		aws:ResourceTag/${TagKey}
DescribeContainerInstances	Accorde l'autorisation de décrire des instances de conteneurs Amazon ECS.	Lecture	container-instance*
DescribeContainerInstances		Lecture		aws:ResourceTag/${TagKey} ecs:cluster
DescribeServices	Accorde l'autorisation de décrire les services spécifiés qui s'exécutent dans votre cluster.	Lecture	service*
DescribeServices		Lecture		aws:ResourceTag/${TagKey} ecs:cluster
DescribeTaskDefinition	Accorde l'autorisation de décrire une définition de tâche. Vous pouvez spécifier une famille et une révision pour rechercher des informations sur une définition de tâche spécifique, ou simplement spécifier la famille pour rechercher la dernière révision ACTIVE dans cette famille.	Lecture
DescribeTaskSets	Accorde l'autorisation de décrire des ensembles de tâches Amazon ECS.	Lecture	task-set*
DescribeTaskSets		Lecture		aws:ResourceTag/${TagKey} ecs:cluster ecs:service
DescribeTasks	Accorde l'autorisation de décrire une ou plusieurs tâches spécifiques.	Lecture	task*
DescribeTasks		Lecture		aws:ResourceTag/${TagKey} ecs:cluster
DiscoverPollEndpoint	Accorde l'autorisation d'obtenir un point de terminaison pour l'agent Amazon ECS afin d'interroger les mises à jour.	Écriture
ExecuteCommand	Accorde l'autorisation d'exécuter une commande à distance sur un conteneur Amazon ECS.	Écrire	cluster*
			task*
				aws:ResourceTag/${TagKey} ecs:cluster ecs:container-name ecs:task
GetTaskProtection	Accorde l'autorisation de récupérer le statut de protection pour les tâches dans un service Amazon	Lecture	task*
GetTaskProtection		Lecture		aws:ResourceTag/${TagKey} ecs:cluster
ListAccountSettings	Accorde l'autorisation de répertorier les paramètres de compte d'une ressource Amazon ECS pour un principal spécifié.	Lecture
ListAttributes	Accorde l'autorisation de répertorier les attributs des ressources Amazon ECS dans un type de cible et un cluster spécifiés.	Liste	cluster*
ListAttributes		Liste		aws:ResourceTag/${TagKey}
ListClusters	Accorde l'autorisation d'obtenir une liste des clusters existants.	Liste
ListContainerInstances	Accorde l'autorisation d'obtenir une liste d'instances de conteneurs dans un cluster spécifié.	Liste	cluster*
ListContainerInstances		Liste		aws:ResourceTag/${TagKey}
ListServices	Accorde l'autorisation d'obtenir une liste des services en cours d'exécution dans un cluster donné.	Liste		ecs:cluster
ListServicesByNamespace	Accorde l'autorisation d'obtenir une liste des services qui s'exécutent dans un espace de noms AWS Cloud cartographique spécifié	Liste		ecs:namespace
ListTagsForResource	Accorde l'autorisation d'obtenir une liste de identifications pour la ressource spécifiée.	Lecture	capacity-provider
			cluster
			container-instance
			service
			task
			task-definition
			task-set
				aws:ResourceTag/${TagKey}
ListTaskDefinitionFamilies	Accorde l'autorisation d'obtenir une liste des familles de définitions de tâches enregistrées sur votre compte (qui peuvent inclure des familles de définition de tâches qui n'ont plus de définitions de tâche ACTIVE).	Liste
ListTaskDefinitions	Accorde l'autorisation d'obtenir une liste des définitions de tâches enregistrées sur votre compte.	Liste
ListTasks	Accorde l'autorisation d'obtenir une liste de tâches pour un cluster spécifié.	Liste	container-instance*
ListTasks		Liste		aws:ResourceTag/${TagKey} ecs:cluster
Poll [autorisation uniquement]	Accorde l'autorisation à un agent de se connecter à Amazon ECS service pour signaler son état et obtenir des commandes.	Écriture	container-instance*
Poll [autorisation uniquement]		Écriture		ecs:cluster
PutAccountSetting	Accorde l'autorisation de modifier le format de l'ARN et de l'ID de ressource d'une ressource pour un utilisateur IAM spécifié, un rôle IAM ou l'utilisateur racine d'un compte. Vous pouvez spécifier si le nouvel ARN et le format d'ID d'une ressource sont activés pour les nouvelles ressources créées. L'activation de ce paramètre est nécessaire pour utiliser les nouvelles fonctions d'Amazon ECS, notamment le balisage des ressources.	Écriture		ecs:account-setting
PutAccountSettingDefault	Accorde l'autorisation de modifier le format de l'ARN et de l'ID de ressource d'un type de ressource pour tous les utilisateurs IAM sur un compte pour lequel aucun paramètre de compte individuel n'a été défini. L'activation de ce paramètre est nécessaire pour utiliser les nouvelles fonctions d'Amazon ECS, notamment le balisage des ressources.	Écriture		ecs:account-setting
PutAttributes	Accorde l'autorisation de créer ou de mettre à jour un attribut sur une ressource Amazon ECS.	Écriture	container-instance*
PutAttributes		Écriture		aws:ResourceTag/${TagKey} ecs:cluster
PutClusterCapacityProviders	Accorde l'autorisation de modifier les fournisseurs de capacité disponibles et la stratégie de fournisseur de capacité par défaut pour un cluster.	Écriture	cluster*
PutClusterCapacityProviders		Écriture		aws:ResourceTag/${TagKey} ecs:capacity-provider
RegisterContainerInstance	Accorde l'autorisation d'enregistrer une instance EC2 dans le cluster spécifié.	Écriture	cluster*
RegisterContainerInstance		Écriture		aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys
RegisterTaskDefinition	Accorde l'autorisation d'enregistrer une nouvelle définition de tâche à partir de la famille et des définitions de conteneurs fournies.	Écriture		aws:RequestTag/${TagKey} aws:TagKeys
RunTask	Accorde l'autorisation de lancer une tâche en utilisant un placement aléatoire et le planificateur Amazon ECS par défaut.	Écriture	task-definition*		iam:PassRole
RunTask		Écriture		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys ecs:cluster ecs:capacity-provider ecs:enable-ebs-volumes ecs:enable-execute-command
StartTask	Accorde l'autorisation de lancer une nouvelle tâche à partir de la définition de tâche spécifiée sur l'instance ou les instances de conteneur spécifiées.	Écriture	task-definition*		iam:PassRole
StartTask		Écriture		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys ecs:cluster ecs:container-instances ecs:enable-ebs-volumes ecs:enable-execute-command
StartTelemetrySession	Accorde l'autorisation de lancer une séance de télémétrie.	Écriture	container-instance*
StartTelemetrySession	Accorde l'autorisation de lancer une séance de télémétrie.	Écriture		ecs:cluster
StopTask	Accorde l'autorisation d'arrêter une tâche en cours d'exécution.	Écriture	task*
StopTask		Écriture		aws:ResourceTag/${TagKey} ecs:cluster
SubmitAttachmentStateChanges	Accorde l'autorisation d'envoyer un accusé de réception indiquant que les attachements ont changé d'état.	Écriture	cluster*
SubmitAttachmentStateChanges		Écriture		aws:ResourceTag/${TagKey}
SubmitContainerStateChange	Accorde l'autorisation d'envoyer un accusé de réception indiquant qu'un conteneur a changé d'état.	Écriture	cluster*
SubmitContainerStateChange		Écriture		aws:ResourceTag/${TagKey}
SubmitTaskStateChange	Accorde l'autorisation d'envoyer un accusé de réception indiquant qu'une tâche a changé d'état.	Écriture	cluster*
SubmitTaskStateChange		Écriture		aws:ResourceTag/${TagKey}
TagResource	Accorde l'autorisation d'identificationr la ressource spécifiée.	Balisage	capacity-provider
			cluster
			container-instance
			service
			task
			task-definition
			task-set
				aws:TagKeys aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} ecs:CreateAction
UntagResource	Accorde l'autorisation d'annuler le balisage de la ressource spécifiée.	Balisage	capacity-provider
			cluster
			container-instance
			service
			task
			task-definition
			task-set
				aws:ResourceTag/${TagKey} aws:TagKeys
UpdateCapacityProvider	Accorde l'autorisation de mettre à jour le fournisseur de capacité spécifié.	Écriture	capacity-provider*
UpdateCapacityProvider		Écriture		aws:ResourceTag/${TagKey}
UpdateCluster	Accorde l'autorisation de modifier la configuration ou les paramètres à utiliser pour un cluster.	Écriture	cluster*
UpdateCluster		Écriture		aws:ResourceTag/${TagKey} ecs:fargate-ephemeral-storage-kms-key
UpdateClusterSettings	Accorde l'autorisation de modifier les paramètres à utiliser pour un cluster.	Écriture	cluster*
UpdateClusterSettings		Écriture		aws:ResourceTag/${TagKey}
UpdateContainerAgent	Accorde l'autorisation de mettre à jour l'agent de conteneur Amazon ECS sur une instance de conteneur spécifiée.	Écriture	container-instance*
UpdateContainerAgent		Écriture		aws:ResourceTag/${TagKey} ecs:cluster
UpdateContainerInstancesState	Accorde l'autorisation à l'utilisateur de modifier le statut d'une instance de conteneur Amazon ECS.	Écriture	container-instance*
UpdateContainerInstancesState		Écriture		aws:ResourceTag/${TagKey} ecs:cluster
UpdateService	Accorde l'autorisation de modifier les paramètres d'un service.	Écriture	service*
UpdateService		Écriture		aws:ResourceTag/${TagKey} ecs:cluster ecs:capacity-provider ecs:enable-ebs-volumes ecs:enable-execute-command ecs:enable-service-connect ecs:namespace ecs:task-definition
UpdateServicePrimaryTaskSet	Accorde l'autorisation de modifier l'ensemble des tâches primaires utilisées dans un service.	Écrire	service*
UpdateServicePrimaryTaskSet		Écrire		aws:ResourceTag/${TagKey} ecs:cluster
UpdateTaskProtection	Accorde l'autorisation de modifier le statut de protection d'une tâche	Écrire	task*
UpdateTaskProtection		Écrire		aws:ResourceTag/${TagKey} ecs:cluster
UpdateTaskSet	Accorde l'autorisation de mettre à jour l'ensemble de tâches spécifié.	Écriture	task-set*
UpdateTaskSet		Écriture		aws:ResourceTag/${TagKey} ecs:cluster ecs:service

Types de ressources définis par Amazon Elastic Container Service

Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources	ARN	Clés de condition
cluster	`arn:${Partition}:ecs:${Region}:${Account}:cluster/${ClusterName}`	aws:ResourceTag/${TagKey} ecs:ResourceTag/${TagKey}
container-instance	`arn:${Partition}:ecs:${Region}:${Account}:container-instance/${ClusterName}/${ContainerInstanceId}`	aws:ResourceTag/${TagKey} ecs:ResourceTag/${TagKey}
service	`arn:${Partition}:ecs:${Region}:${Account}:service/${ClusterName}/${ServiceName}`	aws:ResourceTag/${TagKey} ecs:ResourceTag/${TagKey}
task	`arn:${Partition}:ecs:${Region}:${Account}:task/${ClusterName}/${TaskId}`	aws:ResourceTag/${TagKey} ecs:ResourceTag/${TagKey}
task-definition	`arn:${Partition}:ecs:${Region}:${Account}:task-definition/${TaskDefinitionFamilyName}:${TaskDefinitionRevisionNumber}`	aws:ResourceTag/${TagKey} ecs:ResourceTag/${TagKey}
capacity-provider	`arn:${Partition}:ecs:${Region}:${Account}:capacity-provider/${CapacityProviderName}`	aws:ResourceTag/${TagKey} ecs:ResourceTag/${TagKey}
task-set	`arn:${Partition}:ecs:${Region}:${Account}:task-set/${ClusterName}/${ServiceName}/${TaskSetId}`	aws:ResourceTag/${TagKey} ecs:ResourceTag/${TagKey}

Clés de condition pour Amazon Elastic Container Service

Amazon Elastic Container Service définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une stratégie IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition	Description	Type
aws:RequestTag/${TagKey}	Filtre l'accès en fonction des identifications transmises dans la demande	Chaîne
aws:ResourceTag/${TagKey}	Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource	Chaîne
aws:TagKeys	Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande	ArrayOfCorde
ecs:CreateAction	Filtre l'accès en fonction du nom d'une action d'API de création de ressources.	Chaîne
ecs:ResourceTag/${TagKey}	Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource	Chaîne
ecs:account-setting	Filtre l'accès en fonction du nom de la configuration du compte Amazon ECS	Chaîne
ecs:capacity-provider	Filtre l'accès en fonction de l'ARN d'un fournisseur de capacité Amazon ECS	ARN
ecs:cluster	Filtre l'accès en fonction de l'ARN d'un cluster Amazon ECS	ARN
ecs:container-instances	Filtre l'accès en fonction de l'ARN d'une instance de conteneur Amazon ECS	ARN
ecs:container-name	Filtre l'accès en fonction du nom d'un conteneur Amazon ECS défini dans la définition de tâche ECS	Chaîne
ecs:enable-ebs-volumes	Filtre l'accès par la capacité du volume Amazon EBS géré par Amazon ECS à votre tâche ou service ECS	Chaîne
ecs:enable-execute-command	Filtre l'accès en fonction de la fonctionnalité execute-command de votre tâche Amazon ECS ou votre Amazon ECS service	Chaîne
ecs:enable-service-connect	Filtre l'accès en fonction de la demande du champ d'activation dans la configuration de Service Connect	Chaîne
ecs:fargate-ephemeral-storage-kms-key	Filtre l'accès en fonction de l'identifiant de clé AWS KMS fourni dans la demande	Chaîne
ecs:namespace	Filtre l'accès en fonction de l'ARN de l'espace de noms AWS Cloud Map défini dans la configuration de Service Connect	ARN
ecs:service	Filtre l'accès en fonction de l'ARN d'un Amazon ECS service	ARN
ecs:task	Filtre l'accès en fonction de l'ARN d'une tâche Amazon ECS	ARN
ecs:task-definition	Filtre l'accès en fonction de l'ARN d'une définition de tâche Amazon ECS	ARN

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon Elastic Container Registry Public

AWS Reprise après sinistre élastique