AWSKebijakan yang dikelola untuk Amazon Elastic Container Service - Amazon ECS
Amazonecs_FullAccessAmazonECSTaskExecutionRolePolicyAWSApplicationAutoscalingECSServicePolicyAWSCodeDeployRoleForECSAWSCodeDeployRoleForECSLimitedPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSKebijakan yang dikelola untuk Amazon Elastic Container Service

Untuk menambahkan izin ke para pengguna, grup, dan peran, akan lebih mudah menggunakan kebijakan terkelola AWS dibandingkan dengan menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan terkelola pelanggan IAM yang hanya menyediakan izin sesuai kebutuhan tim Anda. Untuk mulai dengan cepat, Anda dapat menggunakan kebijakan-kebijakan terkelola AWS kami. Kebijakan-kebijakan ini mencakup kasus penggunaan umum dan tersedia di akun AWS Anda. Untuk informasi lebih lanjut tentang kebijakan-kebijakan terkelola AWS, lihat kebijakan terkelola AWS di Panduan Pengguna IAM.

Layanan AWS mempertahankan dan memperbarui kebijakan-kebijakan terkelola AWS. Anda tidak dapat mengubah izin yang ada dalam kebijakan-kebijakan yang dikelola AWS. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin yang ada di kebijakan yang dikelola AWS, sehingga pembaruan-pembaruan yang terjadi pada kebijakan tidak akan membuat izin yang ada rusak.

Selain itu, AWS mendukung kebijakan-kebijakan terkelola untuk fungsi tugas yang mencakup beberapa layanan. Misalnya, kebijakan yang ReadOnlyAccessAWSdikelola memberikan akses hanya baca ke semuaAWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya yang baru. Untuk melihat daftar dan deskripsi dari kebijakan-kebijakan fungsi tugas, lihat kebijakan terkelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

Amazon ECS dan Amazon ECR menyediakan beberapa kebijakan terkelola dan hubungan kepercayaan yang dapat dilampirkan ke pengguna, grup, peran, instans Amazon EC2, dan tugas Amazon ECS yang mengizinkan tingkat kontrol yang berbeda atas sumber daya dan operasi API. Anda dapat menerapkan kebijakan ini secara langsung atau menggunakannya sebagai titik awal untuk membuat kebijakan Anda sendiri. Untuk informasi lebih lanjut tentang kebijakan terkelola Amazon ECR, lihat kebijakan terkelola Amazon ECR.

Amazonecs_FullAccess

Anda dapat melampirkan kebijakan AmazonECS_FullAccess ke identitas-identitas IAM Anda.

Kebijakan ini memberikan akses administratif ke sumber daya Amazon ECS dan memberikan identitas IAM (seperti pengguna, grup, atau peran) akses keAWS layanan yang terintegrasi dengan Amazon ECS untuk menggunakan semua fitur Amazon ECS. Menggunakan kebijakan ini mengizinkan akses ke semua fitur Amazon ECS yang tersedia diAWS Management Console.

Detail izin

Kebijakan IAM yangAmazonECS_FullAccess dikelola mencakup izin berikut. Mengikuti praktik terbaik pemberian hak istimewa paling rendah, Anda dapat menggunakan kebijakan terkelola AmazonECS_FullAccess sebagai templat untuk membuat kebijakan kustom Anda sendiri. Dengan begitu, Anda dapat mengambil atau menambahkan izin ke dan dari kebijakan terkelola berdasarkan kebutuhan khusus Anda.

  • ecs— Mengizinkan prinsipal memiliki akses penuh ke semua API Amazon ECS.

  • application-autoscaling— Mengizinkan prinsipiel untuk membuat, mendeskripsikan, dan mengelola sumber daya Application Auto Scaling. Hal ini diperlukan saat mengaktifkan auto scaling layanan untuk layanan Amazon ECS Anda.

  • appmesh— Mengizinkan prinsipiel untuk mencantumkan mesh layanan dan simpul virtual dan menjelaskan simpul virtual App Mesh. Hal ini diperlukan saat mengintegrasikan layanan Amazon ECS Anda dengan App Mesh.

  • autoscaling— Mengizinkan prinsipiel untuk membuat, dan menjelaskan sumber daya Amazon EC2 Auto Scaling. Hal ini diperlukan saat mengelola grup auto scaling Amazon EC2 ketika menggunakan fitur auto scaling klaster.

  • cloudformation- Memungkinkan prinsipiel untuk membuat dan mengelolaAWS CloudFormation tumpukan. Hal ini diperlukan saat membuat klaster Amazon ECS menggunakanAWS Management Console dan pengelolaan selanjutnya dari klaster tersebut.

  • cloudwatch— Mengizinkan prinsipiel untuk membuat, mengelola, dan menjelaskan CloudWatch alarm Amazon.

  • codedeploy— Mengizinkan prinsipiel untuk membuat dan mengelola deployment aplikasi serta melihat konfigurasi, revisi, dan target deploymentnya.

  • sns— Mengizinkan prinsipiel untuk melihat daftar topik Amazon SNS.

  • lambda- Mengizinkan prinsipiel untuk melihat daftarAWS Lambda fungsi dan konfigurasi tertentu versi mereka.

  • ec2— Mengizinkan prinsipiel menjalankan instans Amazon EC2 serta membuat dan mengelola rute, tabel rute, gateway internet, grup peluncuran, grup keamanan, cloud privat virtual, armada spot, dan subnet.

  • elasticloadbalancing— Mengizinkan prinsipiel untuk membuat, mendeskripsikan, dan menghapus penyeimbang beban Elastic Load Balancing. Prinsipiel juga akan dapat menambahkan tag ke grup target, listener, dan aturan listener yang baru dibuat untuk penyeimbang beban.

  • events— Mengizinkan prinsipieal untuk membuat, mengelola, dan menghapus EventBridge aturan Amazon dan target mereka.

  • iam— Mengizinkan prinsipiel untuk mencantumkan IAM role dan kebijakan terlampir mereka. Prinsipiel juga dapat mencantumkan profil instans yang tersedia pada instans Amazon EC2 Anda.

  • logs— Mengizinkan prinsipiel untuk membuat dan menjelaskan grup CloudWatch log Amazon Logs. Prinsipiel juga dapat mencantumkan log acara pada grup log ini.

  • route53— Mengizinkan prinsipiel untuk membuat, mengelola, dan menghapus zona yang di-hosting Amazon Route 53. Prinsipiel juga dapat melihat konfigurasi dan informasi pemeriksaan kondisi Amazon Route 53. Untuk informasi selengkapnya tentang zona yang di-hosting, lihat Bekerja dengan zona yang di-hosting.

  • servicediscovery— Mengizinkan prinsipiel untuk membuat, mengelola, dan menghapusAWS Cloud Map layanan dan membuat namespace DNS privat.

Berikut ini adalah contoh kebijakan AmazonECS_FullAccess.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:RegisterScalableTarget",
                "appmesh:DescribeVirtualGateway",
                "appmesh:DescribeVirtualNode",
                "appmesh:ListMeshes",
                "appmesh:ListVirtualGateways",
                "appmesh:ListVirtualNodes",
                "autoscaling:CreateAutoScalingGroup",
                "autoscaling:CreateLaunchConfiguration",
                "autoscaling:DeleteAutoScalingGroup",
                "autoscaling:DeleteLaunchConfiguration",
                "autoscaling:Describe*",
                "autoscaling:UpdateAutoScalingGroup",
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:PutMetricAlarm",
                "codedeploy:BatchGetApplicationRevisions",
                "codedeploy:BatchGetApplications",
                "codedeploy:BatchGetDeploymentGroups",
                "codedeploy:BatchGetDeployments",
                "codedeploy:ContinueDeployment",
                "codedeploy:CreateApplication",
                "codedeploy:CreateDeployment",
                "codedeploy:CreateDeploymentGroup",
                "codedeploy:GetApplication",
                "codedeploy:GetApplicationRevision",
                "codedeploy:GetDeployment",
                "codedeploy:GetDeploymentConfig",
                "codedeploy:GetDeploymentGroup",
                "codedeploy:GetDeploymentTarget",
                "codedeploy:ListApplicationRevisions",
                "codedeploy:ListApplications",
                "codedeploy:ListDeploymentConfigs",
                "codedeploy:ListDeploymentGroups",
                "codedeploy:ListDeployments",
                "codedeploy:ListDeploymentTargets",
                "codedeploy:RegisterApplicationRevision",
                "codedeploy:StopDeployment",
                "ec2:AssociateRouteTable",
                "ec2:AttachInternetGateway",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CancelSpotFleetRequests",
                "ec2:CreateInternetGateway",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateRoute",
                "ec2:CreateRouteTable",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSubnet",
                "ec2:CreateVpc",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteSubnet",
                "ec2:DeleteVpc",
                "ec2:Describe*",
                "ec2:DetachInternetGateway",
                "ec2:DisassociateRouteTable",
                "ec2:ModifySubnetAttribute",
                "ec2:ModifyVpcAttribute",
                "ec2:RequestSpotFleet",
                "ec2:RunInstances",
                "ecs:*",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticloadbalancing:CreateListener",
                "elasticloadbalancing:CreateLoadBalancer",
                "elasticloadbalancing:CreateRule",
                "elasticloadbalancing:CreateTargetGroup",
                "elasticloadbalancing:DeleteListener",
                "elasticloadbalancing:DeleteLoadBalancer",
                "elasticloadbalancing:DeleteRule",
                "elasticloadbalancing:DeleteTargetGroup",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeRules",
                "elasticloadbalancing:DescribeTargetGroups",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:ListRuleNamesByTarget",
                "events:ListTargetsByRule",
                "events:PutRule",
                "events:PutTargets",
                "events:RemoveTargets",
                "fsx:DescribeFileSystems",
                "iam:ListAttachedRolePolicies",
                "iam:ListInstanceProfiles",
                "iam:ListRoles",
                "lambda:ListFunctions",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups",
                "logs:FilterLogEvents",
                "route53:CreateHostedZone",
                "route53:DeleteHostedZone",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHostedZonesByName",
                "servicediscovery:CreatePrivateDnsNamespace",
                "servicediscovery:CreateService",
                "servicediscovery:DeleteService",
                "servicediscovery:GetNamespace",
                "servicediscovery:GetOperation",
                "servicediscovery:GetService",
                "servicediscovery:ListNamespaces",
                "servicediscovery:ListServices",
                "servicediscovery:UpdateService",
                "sns:ListTopics"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:GetParametersByPath"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/aws/service/ecs*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteInternetGateway",
                "ec2:DeleteRoute",
                "ec2:DeleteRouteTable",
                "ec2:DeleteSecurityGroup"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/aws:cloudformation:stack-name": "EC2ContainerService-*"
                }
            }
        },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "ecs-tasks.amazonaws.com"
                }
            }
        },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/ecsInstanceRole*"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": [
                        "ec2.amazonaws.com",
                        "ec2.amazonaws.com.cn"
                    ]
                }
            }
        },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/ecsAutoscaleRole*"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": [
                        "application-autoscaling.amazonaws.com",
                        "application-autoscaling.amazonaws.com.cn"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "autoscaling.amazonaws.com",
                        "ecs.amazonaws.com",
                        "ecs.application-autoscaling.amazonaws.com",
                        "spot.amazonaws.com",
                        "spotfleet.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:AddTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "elasticloadbalancing:CreateAction": [
                        "CreateTargetGroup",
                        "CreateRule",
                        "CreateListener",
                        "CreateLoadBalancer"
                    ]
                }
            }
        }
    ]
}

AmazonECSTaskExecutionRolePolicy

Kebijakan IAM yangAmazonECSTaskExecutionRolePolicy dikelola memberikan izin yang diperlukan oleh agen kontainer Amazon ECS dan agenAWS Fargate kontainer untuk membuat panggilanAWS API atas nama Anda. Kebijakan ini dapat ditambahkan ke IAM role eksekusi tugas Anda. Untuk informasi selengkapnya, lihat Peran IAM eksekusi tugas ECS.

Detail izin

Kebijakan IAM yangAmazonECSTaskExecutionRolePolicy dikelola mencakup izin berikut. Dengan mengikuti saran keamanan standar untuk memberikan hak istimewa paling rendah, kebijakan terkelola AmazonECSTaskExecutionRolePolicy dapat digunakan sebagai panduan. Jika salah satu izin yang diberikan dalam kebijakan terkelola tidak diperlukan untuk kasus penggunaan Anda, buat kebijakan kustom dan hanya tambahkan izin yang Anda perlukan.

  • ecr:GetAuthorizationToken— Mengizinkan prinsipiel untuk mengambil token otorisasi. Token otorisasi mewakili kredensiasi autentikasi IAM dan dapat digunakan untuk mengakses registri Amazon ECR di mana IAM utama memiliki akses. Token otorisasi yang diterima berlaku selama 12 jam.

  • ecr:BatchCheckLayerAvailability— — Saat citra kontainer didorong ke repositori privat Amazon ECR, setiap lapisan citra diperiksa untuk memverifikasi apakah sudah didorong atau belum. Jika sudah didorong, maka lapisan citra dilewati.

  • ecr:GetDownloadUrlForLayer— Ketika citra kontainer ditarik dari repositori privat Amazon ECR, API ini dipanggil satu kali untuk setiap layer citra yang belum di-cache.

  • ecr:BatchGetImage— Ketika citra kontainer ditarik dari repositori privat Amazon ECR, API ini dipanggil satu kali untuk mengambil manifes citra.

  • logs:CreateLogStream— Mengizinkan prinsipiel untuk membuat aliran CloudWatch log log tertentu.

  • logs:PutLogEvents- Mengizinkan prinsipiel untuk mengunggah kumpulan peristiwa log ke aliran log tertentu.

Berikut ini adalah contoh kebijakan AmazonECSTaskExecutionRolePolicy.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecr:GetAuthorizationToken",
        "ecr:BatchCheckLayerAvailability",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchGetImage",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

AWSApplicationAutoscalingECSServicePolicy

Anda tidak dapat melampirkan AWSApplicationAutoscalingECSServicePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran tertaut layanan yang mengizinkan Application Auto Scaling untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran yang ditautkan dengan layanan untuk Application Auto Scaling.

AWSCodeDeployRoleForECS

Anda tidak dapat melampirkan AWSCodeDeployRoleForECS ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang CodeDeploy mengizinkan untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Membuat peran layanan CodeDeploy di PanduanAWS CodeDeploy Pengguna.

AWSCodeDeployRoleForECSLimited

Anda tidak dapat melampirkan AWSCodeDeployRoleForECSLimited ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang CodeDeploy mengizinkan untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Membuat peran layanan CodeDeploy di PanduanAWS CodeDeploy Pengguna.

Pembaruan Amazon ECS untuk kebijakan yangAWS dikelola

Lihat detail tentang pembaruan untuk kebijakan yangAWS dikelola untuk Amazon ECS sejak layanan ini mulai melacak perubahan-perubahan tersebut. Untuk pemberitahuan otomatis tentang perubahan pada halaman ini, mulai langganan umpan RSS di halaman riwayat Dokumen Amazon ECS.

Perubahan Deskripsi Tanggal

Tambahkan izin keAmazonecs_FullAccess

 AmazonECS_FullAccessKebijakan diubah untuk menambahkanelasticloadbalancing:AddTags izin yang mencakup kondisi yang membatasi izin hanya untuk penyeimbang muatan, grup target, aturan, dan pendengar yang baru dibuat. Izin ini tidak mengizinkan tag ditambahkan ke sumber daya Elastic Load Balancing yang sudah dibuat. 4 Januari 2023

Amazon ECS mulai melacak perubahan

Amazon ECS mulai melacak perubahan untuk kebijakanAWS terkelola.

 8 Juni 2021