Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon Elastic Container Service
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite piuttosto che scrivere le politiche autonomamente. Creare policy gestite dal cliente IAM per fornire al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle policy AWS gestite, consulta le policy AWS gestite nella IAM User Guide.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l'elenco e la descrizione delle policy di funzione dei processi, consulta la sezione Policy gestite da AWS per funzioni di processi nella Guida per l'utente di IAM.
Amazon ECS e Amazon ECR forniscono diverse policy gestite e relazioni di attendibilità che possono essere collegate a utenti, gruppi, ruoli, istanze Amazon EC2 e attività di Amazon ECS che consentono diversi livelli di controllo sulle risorse e sulle operazioni API. Puoi applicare queste policy direttamente oppure utilizzarle come punto di partenza per la creazione di tue policy. Per ulteriori informazioni sulle policy gestite da Amazon ECR, consulta Policy gestite da Amazon ECR.
AmazonECS_ FullAccess
È possibile allegare la policy AmazonECS_FullAccessalle identità IAM.
Questa policy concede l'accesso amministrativo alle risorse di Amazon ECS e concede a un'identità IAM (ad esempio un utente, un gruppo o un ruolo) l'accesso ai servizi con AWS cui è integrato Amazon ECS per utilizzare tutte le funzionalità di Amazon ECS. L'utilizzo di questa policy consente di accedere a tutte le funzioni Amazon ECS disponibili nella AWS Management Console.
Dettagli dell'autorizzazione
La policy IAM gestita da AmazonECS_FullAccess deve includere le seguenti autorizzazioni: Seguendo la best practice per concedere il privilegio minimo, è possibile utilizzare la policy gestita di AmazonECS_FullAccess come modello per la creazione di policy personalizzate. In questo modo, è possibile rimuovere o aggiungere autorizzazioni da e verso le policy gestite in base ai requisiti specifici.
-
ecs— Consente ai responsabili l'accesso completo a tutte le operazioni API di Amazon ECS. -
application-autoscaling: consente ai principali di creare, descrivere e gestire risorse di Application Auto Scaling. Questo è necessario quando si abilita il dimensionamento automatico del servizio per i servizi Amazon ECS. -
appmesh: consente ai principali di elencare le mesh del servizio App Mesh e i nodi virtuali e di descrivere i nodi virtuali App Mesh. Ciò è necessario quando si integrano i servizi Amazon ECS con App Mesh. -
autoscaling: consente ai principali di creare, gestire e descrivere le risorse di Amazon EC2 Auto Scaling. Ciò è necessario quando si gestiscono i gruppi di Amazon EC2 Auto Scaling quando si utilizza la funzionalità di scalabilità automatica del cluster. -
cloudformation— Consente ai principali di creare e gestire gli stack. AWS CloudFormation Ciò è necessario quando si creano cluster Amazon ECS tramite la AWS Management Console e la successiva gestione di tali cluster. -
cloudwatch— Consente ai responsabili di creare, gestire e descrivere gli CloudWatch allarmi Amazon. -
codedeploy— Consente ai responsabili di creare e gestire le distribuzioni delle applicazioni e di visualizzarne le configurazioni, le revisioni e gli obiettivi di distribuzione. -
sns: consente ai principali di visualizzare un elenco di argomenti di Amazon SNS. -
lambda: consente ai principali di visualizzare un elenco di funzioni AWS Lambda e le relative configurazioni specifiche della versione. -
ec2— Consente ai responsabili di eseguire istanze Amazon EC2 e creare e gestire percorsi, tabelle di routing, gateway Internet, gruppi di avvio, gruppi di sicurezza, cloud privati virtuali, flotte Spot e sottoreti. -
elasticloadbalancing: consente ai principali di creare, descrivere ed eliminare i load balancer di Elastic Load Balancing. I principali saranno inoltre in grado di gestire completamente i gruppi di destinazione, gli ascoltatori e le regole dell'ascoltatore per i sistemi di bilanciamento del carico. -
events— Consente ai mandanti di creare, gestire ed eliminare EventBridge le regole di Amazon e i relativi obiettivi. -
iam: consente ai principali di elencare i ruoli IAM e le relative policy associate. I principali possono anche elencare i profili dell'istanza disponibili per le istanze Amazon EC2. -
logs— Consente ai responsabili di creare e descrivere i gruppi di log di Amazon CloudWatch Logs. I principali possono elencare anche gli eventi di log per questi gruppi di log. -
route53: consente ai principali di creare, gestire ed eliminare le zone ospitate di Amazon Route 53. I principali possono anche visualizzare anche le informazioni e la configurazione del controllo dell'integrità di Amazon Route 53. Per ulteriori informazioni sulle zone ospitate, consulta Utilizzo di zone ospitate. -
servicediscovery— Consente ai responsabili di creare, gestire ed eliminare AWS Cloud Map servizi e creare namespace DNS privati.
Di seguito è riportata una policy AmazonECS_FullAccess di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget", "appmesh:DescribeVirtualGateway", "appmesh:DescribeVirtualNode", "appmesh:ListMeshes", "appmesh:ListVirtualGateways", "appmesh:ListVirtualNodes", "autoscaling:CreateAutoScalingGroup", "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:DeleteLaunchConfiguration", "autoscaling:Describe*", "autoscaling:UpdateAutoScalingGroup", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricStatistics", "cloudwatch:PutMetricAlarm", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetApplications", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:ContinueDeployment", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetApplicationRevision", "codedeploy:GetDeployment", "codedeploy:GetDeploymentConfig", "codedeploy:GetDeploymentGroup", "codedeploy:GetDeploymentTarget", "codedeploy:ListApplicationRevisions", "codedeploy:ListApplications", "codedeploy:ListDeploymentConfigs", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:ListDeploymentTargets", "codedeploy:RegisterApplicationRevision", "codedeploy:StopDeployment", "ec2:AssociateRouteTable", "ec2:AttachInternetGateway", "ec2:AuthorizeSecurityGroupIngress", "ec2:CancelSpotFleetRequests", "ec2:CreateInternetGateway", "ec2:CreateLaunchTemplate", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:DeleteLaunchTemplate", "ec2:DeleteSubnet", "ec2:DeleteVpc", "ec2:Describe*", "ec2:DetachInternetGateway", "ec2:DisassociateRouteTable", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:RequestSpotFleet", "ec2:RunInstances", "ecs:*", "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:CreateListener", "elasticloadbalancing:CreateLoadBalancer", "elasticloadbalancing:CreateRule", "elasticloadbalancing:CreateTargetGroup", "elasticloadbalancing:DeleteListener", "elasticloadbalancing:DeleteLoadBalancer", "elasticloadbalancing:DeleteRule", "elasticloadbalancing:DeleteTargetGroup", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeTargetGroups", "events:DeleteRule", "events:DescribeRule", "events:ListRuleNamesByTarget", "events:ListTargetsByRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets", "fsx:DescribeFileSystems", "iam:ListAttachedRolePolicies", "iam:ListInstanceProfiles", "iam:ListRoles", "lambda:ListFunctions", "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:FilterLogEvents", "route53:CreateHostedZone", "route53:DeleteHostedZone", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHostedZonesByName", "servicediscovery:CreatePrivateDnsNamespace", "servicediscovery:CreateService", "servicediscovery:DeleteService", "servicediscovery:GetNamespace", "servicediscovery:GetOperation", "servicediscovery:GetService", "servicediscovery:ListNamespaces", "servicediscovery:ListServices", "servicediscovery:UpdateService", "sns:ListTopics" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:GetParameters", "ssm:GetParametersByPath" ], "Resource": "arn:aws:ssm:*:*:parameter/aws/service/ecs*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteInternetGateway", "ec2:DeleteRoute", "ec2:DeleteRouteTable", "ec2:DeleteSecurityGroup" ], "Resource": ["*"], "Condition": { "StringLike": {"ec2:ResourceTag/aws:cloudformation:stack-name": "EC2ContainerService-*"} } }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": ["*"], "Condition": { "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"} } }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": ["arn:aws:iam::*:role/ecsInstanceRole*"], "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn" ] } } }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": ["arn:aws:iam::*:role/ecsAutoscaleRole*"], "Condition": { "StringLike": { "iam:PassedToService": [ "application-autoscaling.amazonaws.com", "application-autoscaling.amazonaws.com.cn" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "autoscaling.amazonaws.com", "ecs.amazonaws.com", "ecs.application-autoscaling.amazonaws.com", "spot.amazonaws.com", "spotfleet.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": ["elasticloadbalancing:AddTags"], "Resource": "*", "Condition": { "StringEquals": { "elasticloadbalancing:CreateAction": [ "CreateTargetGroup", "CreateRule", "CreateListener", "CreateLoadBalancer" ] } } } ] }
Amazonecs InfrastructureRolePolicyForVolumes
La policy IAM AmazonECSInfrastructureRolePolicyForVolumes gestita concede le autorizzazioni necessarie ad Amazon ECS per effettuare chiamate AWS API per tuo conto. Puoi collegare questa policy al ruolo IAM che fornisci con la configurazione del volume quando avvii attività e servizi Amazon ECS. Il ruolo consente ad Amazon ECS di gestire i volumi collegati alle tue attività. Per ulteriori informazioni, consulta il ruolo IAM dell'infrastruttura Amazon ECS.
Dettagli dell'autorizzazione
La policy IAM gestita da AmazonECSInfrastructureRolePolicyForVolumes deve includere le seguenti autorizzazioni: Seguendo i consigli di sicurezza standard che prevedono la concessione del privilegio minimo, è possibile utilizzare la politica AmazonECSInfrastructureRolePolicyForVolumes gestita come modello per creare una politica personalizzata che includa solo le autorizzazioni necessarie.
-
ec2:CreateVolume— Consente a un principale di creare un volume Amazon EBS se e solo se è etichettato con iAmazonECSManagedtagAmazonECSCreatedand. Questa autorizzazione è necessaria per creare volumi Amazon EBS collegati alle attività di Amazon ECS e ridurre al minimo le autorizzazioni fornite ad Amazon ECS da questa politica. -
ec2:CreateTags— Consente a un principale di aggiungere tag a un volume Amazon EBS come parte diec2:CreateVolume. Questa autorizzazione è richiesta da Amazon ECS per aggiungere tag specificati dal cliente ai volumi Amazon EBS creati per tuo conto. -
ec2:AttachVolume— Consente a un principale di collegare un volume Amazon EBS a un'istanza Amazon EC2. Questa autorizzazione è richiesta da Amazon ECS per collegare i volumi Amazon EBS all'istanza Amazon EC2 che ospita l'attività Amazon ECS associata. -
ec2:DescribeVolume— Consente a un responsabile di recuperare informazioni sui volumi Amazon EBS. Questa autorizzazione è necessaria per gestire il ciclo di vita dei volumi Amazon EBS. -
ec2:DescribeAvailabilityZones— Consente a un preside di recuperare informazioni sulle zone di disponibilità nel tuo account. Ciò è necessario per gestire il ciclo di vita dei volumi EBS. -
ec2:DetachVolume— Consente a un principale di scollegare un volume Amazon EBS da un'istanza Amazon EC2. Questa autorizzazione è richiesta da Amazon ECS per scollegare il volume Amazon EBS dall'istanza Amazon EC2 che ospita l'attività Amazon ECS associata quando l'attività termina. -
ec2:DeleteVolume— Consente a un principale di eliminare un volume Amazon EBS. Questa autorizzazione è richiesta da Amazon ECS per eliminare i volumi Amazon EBS che non sono più utilizzati dall'attività Amazon ECS. -
ec2:DeleteTags— Consente a un principale di eliminare ilAmazonECSManagedtag da un volume Amazon EBS. Questa autorizzazione è richiesta da Amazon ECS per rimuovere l'accesso a un volume Amazon EBS dopo che non è più associato a un carico di lavoro Amazon ECS. Questo è applicabile solo quando un volume Amazon EBS non viene eliminato dopo l'arresto dell'attività.
Di seguito è riportata una policy AmazonECSInfrastructureRolePolicyForVolumes di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateEBSManagedVolume", "Effect": "Allow", "Action": "ec2:CreateVolume", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true" } } }, { "Sid": "TagOnCreateVolume", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "ec2:CreateAction": "CreateVolume", "aws:RequestTag/AmazonECSManaged": "true" } } }, { "Sid": "DescribeVolumesForLifecycle", "Effect": "Allow", "Action": [ "ec2:DescribeVolumes", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Sid": "ManageEBSVolumeLifecycle", "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } }, { "Sid": "ManageVolumeAttachmentsForEC2", "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*" }, { "Sid": "DeleteEBSManagedVolume", "Effect": "Allow", "Action": "ec2:DeleteVolume", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:ResourceTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } } ] }
ContainerServiceforRuolo EC2 di Amazon EC2
Amazon ECS collega questa policy a un ruolo di servizio che consente ad Amazon ECS di eseguire operazioni per tuo conto rispetto a istanze Amazon EC2 o istanze esterne.
Questa politica concede autorizzazioni amministrative che consentono alle istanze di container Amazon ECS di effettuare chiamate per AWS tuo conto. Per ulteriori informazioni, consulta Ruolo IAM delle istanze di container Amazon ECS.
Considerazioni
È opportuno considerare i seguenti suggerimenti e considerazioni quando usi la policy IAM gestita da AmazonEC2ContainerServiceforEC2Role.
-
Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, è possibile modificare la policy gestita da
AmazonEC2ContainerServiceforEC2Roleper soddisfare le esigenze specifiche. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste. Ad esempio, l'autorizzazioneUpdateContainerInstancesStateè fornita per lo svuotamento dell'istanza Spot. Se tale autorizzazione non è necessaria per il tuo caso d'uso, escludila utilizzando una policy personalizzata. Per ulteriori informazioni, consulta Dettagli dell'autorizzazione. -
I container in esecuzione sulle tue istanze di container hanno accesso a tutte le autorizzazioni che vengono fornite al ruolo dell'istanza di container tramite i metadati dell'istanza. Consigliamo di limitare le autorizzazioni nel ruolo dell'istanza di container all'elenco minimo delle autorizzazioni fornito nella policy
AmazonEC2ContainerServiceforEC2Rolegestita. Se i container nei tuoi processi hanno bisogno di autorizzazioni aggiuntive non elencate di seguito, ti consigliamo di fornire a tali processi i relativi ruoli IAM. Per ulteriori informazioni, consulta Ruolo IAM dell'attività Amazon ECS.È possibile impedire ai contenitori nel bridge
docker0l'accesso alle autorizzazioni fornite al ruolo dell'istanza di container. È possibile farlo pur concedendo le autorizzazioni fornite da Ruolo IAM dell'attività Amazon ECS eseguendo il seguente comando iptables sulle istanze del container. I container non possono eseguire query sui metadati dell'istanza con questa regola in vigore. Questo comando presuppone la configurazione del bridge Docker di default e non funziona per i container che utilizzano la modalità di retehost. Per ulteriori informazioni, consulta Modalità di rete.sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROPPer fare in modo che la regola iptables venga conservata dopo un riavvio, devi salvarla sull'istanza di container. Per l'AMI ottimizzata per Amazon ECS, utilizza il comando riportato di seguito. Per gli altri sistemi operativi, consulta la relativa documentazione specifica.
-
Per l'AMI Amazon Linux 2 ottimizzata per Amazon ECS:
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables -
Per l'AMI Amazon Linux ottimizzata per Amazon ECS:
sudo service iptables save
-
Dettagli dell'autorizzazione
La policy IAM gestita da AmazonEC2ContainerServiceforEC2Role deve includere le seguenti autorizzazioni: Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, la policy gestita AmazonEC2ContainerServiceforEC2Rolepuò essere utilizzata come guida. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste.
-
ec2:DescribeTags: consente a un principale di descrivere i tag associati a un'istanza Amazon EC2. Questa autorizzazione viene utilizzata dall'agente del container Amazon ECS per supportare la propagazione dei tag delle risorse. Per ulteriori informazioni, consulta Assegnazione di tag alle risorse. -
ecs:CreateCluster: consente a un principale di creare un cluster Amazon ECS. Questa autorizzazione viene utilizzata dall'agente del container di Amazon ECS per creare un clusterdefault, se non è già presente. -
ecs:DeregisterContainerInstance: consente a un principale di annullare la registrazione di un'istanza di container di Amazon ECS da un cluster. L'agente container Amazon ECS non chiama questa operazione API, ma questa autorizzazione rimane per garantire la compatibilità con le versioni precedenti. -
ecs:DiscoverPollEndpoint: questa operazione restituisce gli endpoint utilizzati dall'agente del container di Amazon ECS per eseguire il polling per gli aggiornamenti. -
ecs:Poll: consente all'agente del container di Amazon ECS di comunicare con il piano di controllo Amazon ECS per segnalare le modifiche dello stato del processo. -
ecs:RegisterContainerInstance: consente a un principale di annullare la registrazione di un'istanza di container con un cluster. Questa autorizzazione viene utilizzata dall'agente container Amazon ECS per registrare l'istanza Amazon EC2 in un cluster e per supportare la propagazione dei tag di risorse. -
ecs:StartTelemetrySession: consente all'agente di container Amazon ECS di comunicare con il piano di controllo Amazon ECS per segnalare le informazioni di integrità e i parametri per ogni container e processo. -
ecs:TagResource: consente all'agente di container Amazon ECS di assegnare tag al cluster al momento della creazione e di assegnare tag alle istanze di container quando vengono registrate in un cluster. -
ecs:UpdateContainerInstancesState: consente a un principale di modificare lo stato di un'istanza di container Amazon ECS. Questa autorizzazione viene utilizzata dall'agente del container di Amazon ECS per il drenaggio dell'istanza Spot. -
ecs:Submit*: include le operazioni APISubmitAttachmentStateChanges,SubmitContainerStateChangeeSubmitTaskStateChange. Vengono utilizzati dall'agente del container di Amazon ECS per segnalare le modifiche di stato per ogni risorsa al piano di controllo Amazon ECS. L'SubmitContainerStateChangeautorizzazione non viene più utilizzata dall'agente container Amazon ECS, ma serve a garantire la compatibilità con le versioni precedenti. -
ecr:GetAuthorizationToken: consente a un principale di recuperare un token di autorizzazione. Un token di autorizzazione rappresenta le credenziali di autenticazione IAM e può essere utilizzato per accedere a qualsiasi registro Amazon ECR a cui ha accesso il principale IAM. Il token di autorizzazione ricevuto è valido per 12 ore. -
ecr:BatchCheckLayerAvailability: quando si esegue il push di un'immagine di container in un repository privato Amazon ECR, ogni livello dell'immagine viene controllato per verificare se ne è già stato eseguito il push. Se lo è, il livello dell'immagine viene ignorato. -
ecr:GetDownloadUrlForLayer: quando un'immagine del container viene estratta da un repository privato Amazon ECR, questa API viene richiamata una volta per ogni livello di immagine che non è già memorizzato nella cache. -
ecr:BatchGetImage: quando si esegue il pull di un'immagine di container da un repository privato Amazon ECR, questa API viene chiamata una volta per recuperare il manifesto dell'immagine. -
logs:CreateLogStream— Consente a un principale di creare un flusso di log di CloudWatch Logs per un gruppo di log specificato. -
logs:PutLogEvents: consente a un principale di caricare un batch di eventi di log in un flusso di log specificato.
Di seguito è riportata una policy AmazonEC2ContainerServiceforEC2Role di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ecs:CreateCluster", "ecs:DeregisterContainerInstance", "ecs:DiscoverPollEndpoint", "ecs:Poll", "ecs:RegisterContainerInstance", "ecs:StartTelemetrySession", "ecs:UpdateContainerInstancesState", "ecs:Submit*", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": [ "CreateCluster", "RegisterContainerInstance" ] } } } ] }
Amazon EC2 ContainerServiceEventsRole
Questa politica concede autorizzazioni che consentono ad Amazon EventBridge (precedentemente CloudWatch Events) di eseguire attività per tuo conto. Questa policy può essere associata al ruolo IAM specificato quando si creano processi pianificati. Per ulteriori informazioni, consulta Ruolo EventBridge IAM di Amazon ECS.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
ecs— Consente a un responsabile di un servizio di chiamare l' RunTask API Amazon ECS. Consente a un principale di un servizio di aggiungere tag (TagResource) quando chiama l' RunTask API Amazon ECS. -
iam: consente di trasmettere qualsiasi ruolo di servizio IAM a qualsiasi attività Amazon ECS.
Di seguito è riportata una policy AmazonEC2ContainerServiceEventsRole di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:RunTask"], "Resource": ["*"] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": ["*"], "Condition": { "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"} } }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": ["RunTask"] } } } ] }
Amazonecs TaskExecutionRolePolicy
La policy IAM AmazonECSTaskExecutionRolePolicy gestita concede le autorizzazioni necessarie all'agente container Amazon ECS e agli agenti AWS Fargate container per effettuare chiamate AWS API per tuo conto. Questa policy può essere aggiunta al ruolo IAM di esecuzione dell''attività. Per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS.
Dettagli dell'autorizzazione
La policy IAM gestita da AmazonECSTaskExecutionRolePolicy deve includere le seguenti autorizzazioni: Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, la policy gestita AmazonECSTaskExecutionRolePolicypuò essere utilizzata come guida. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste.
-
ecr:GetAuthorizationToken: consente a un principale di recuperare un token di autorizzazione. Un token di autorizzazione rappresenta le credenziali di autenticazione IAM e può essere utilizzato per accedere a qualsiasi registro Amazon ECR a cui ha accesso il principale IAM. Il token di autorizzazione ricevuto è valido per 12 ore. -
ecr:BatchCheckLayerAvailability: quando si esegue il push di un'immagine di container in un repository privato Amazon ECR, ogni livello dell'immagine viene controllato per verificare se ne è già stato eseguito il push. Se viene premuto, il livello dell'immagine viene ignorato. -
ecr:GetDownloadUrlForLayer: quando un'immagine del container viene estratta da un repository privato Amazon ECR, questa API viene richiamata una volta per ogni livello di immagine che non è già memorizzato nella cache. -
ecr:BatchGetImage: quando si esegue il pull di un'immagine di container da un repository privato Amazon ECR, questa API viene chiamata una volta per recuperare il manifesto dell'immagine. -
logs:CreateLogStream— Consente a un principale di creare un flusso di log di CloudWatch Logs per un gruppo di log specificato. -
logs:PutLogEvents: consente a un principale di caricare un batch di eventi di log in un flusso di log specificato.
Di seguito è riportata una policy AmazonECSTaskExecutionRolePolicy di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
Amazonecs ServiceRolePolicy
La policy IAM gestita AmazonECSServiceRolePolicy consente ad Amazon Elastic Container Service di gestire il cluster. Questa policy può essere aggiunta al ruolo IAM di esecuzione dell''attività. Per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS.
Dettagli dell'autorizzazione
La policy IAM gestita da AmazonECSServiceRolePolicy deve includere le seguenti autorizzazioni: Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, la policy gestita AmazonECSServiceRolePolicypuò essere utilizzata come guida. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste.
-
autoscaling: consente ai principali di creare, gestire e descrivere le risorse di Dimensionamento automatico Amazon EC2. Ciò è necessario quando si gestiscono i gruppi di Amazon EC2 Auto Scaling quando si utilizza la funzionalità di scalabilità automatica del cluster. -
autoscaling-plans: consente ai principali di creare, eliminare e descrivere i piani di dimensionamento automatico. -
cloudwatch— Consente ai responsabili di creare, gestire e descrivere gli CloudWatch allarmi Amazon. -
ec2— Consente l'esecuzione dei principali su istanze Amazon EC2 e la creazione e la gestione di interfacce e tag di rete. -
elasticloadbalancing: consente ai principali di creare, descrivere ed eliminare i load balancer di Elastic Load Balancing. I presidi saranno inoltre in grado di aggiungere e descrivere i gruppi target. -
logs— Consente ai responsabili di creare e descrivere i gruppi di log di Amazon CloudWatch Logs. I principali possono elencare anche gli eventi di log per questi gruppi di log. -
route53: consente ai principali di creare, gestire ed eliminare le zone ospitate di Amazon Route 53. I principali possono anche visualizzare anche le informazioni e la configurazione del controllo dell'integrità di Amazon Route 53. Per ulteriori informazioni sulle zone ospitate, consulta Utilizzo di zone ospitate. -
servicediscovery— Consente ai responsabili di creare, gestire ed eliminare AWS Cloud Map servizi e creare namespace DNS privati. -
events— Consente ai mandanti di creare, gestire ed eliminare EventBridge le regole di Amazon e i relativi obiettivi.
Di seguito è riportata una policy AmazonECSServiceRolePolicy di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ECSTaskManagement", "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:Describe*", "ec2:DetachNetworkInterface", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DeregisterTargets", "elasticloadbalancing:Describe*", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:DeleteHealthCheck", "route53:Get*", "route53:List*", "route53:UpdateHealthCheck", "servicediscovery:DeregisterInstance", "servicediscovery:Get*", "servicediscovery:List*", "servicediscovery:RegisterInstance", "servicediscovery:UpdateInstanceCustomHealthStatus" ], "Resource": "*" }, { "Sid": "AutoScaling", "Effect": "Allow", "Action": [ "autoscaling:Describe*" ], "Resource": "*" }, { "Sid": "AutoScalingManagement", "Effect": "Allow", "Action": [ "autoscaling:DeletePolicy", "autoscaling:PutScalingPolicy", "autoscaling:SetInstanceProtection", "autoscaling:UpdateAutoScalingGroup", "autoscaling:PutLifecycleHook", "autoscaling:DeleteLifecycleHook", "autoscaling:CompleteLifecycleAction", "autoscaling:RecordLifecycleActionHeartbeat" ], "Resource": "*", "Condition": { "Null": { "autoscaling:ResourceTag/AmazonECSManaged": "false" } } }, { "Sid": "AutoScalingPlanManagement", "Effect": "Allow", "Action": [ "autoscaling-plans:CreateScalingPlan", "autoscaling-plans:DeleteScalingPlan", "autoscaling-plans:DescribeScalingPlans", "autoscaling-plans:DescribeScalingPlanResources" ], "Resource": "*" }, { "Sid": "EventBridge", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": "arn:aws:events:*:*:rule/ecs-managed-*" }, { "Sid": "EventBridgeRuleManagement", "Effect": "Allow", "Action": [ "events:PutRule", "events:PutTargets" ], "Resource": "*", "Condition": { "StringEquals": { "events:ManagedBy": "ecs.amazonaws.com" } } }, { "Sid": "CWAlarmManagement", "Effect": "Allow", "Action": [ "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Sid": "ECSTagging", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*" }, { "Sid": "CWLogGroupManagement", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*" }, { "Sid": "CWLogStreamManagement", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*:log-stream:*" }, { "Sid": "ExecuteCommandSessionManagement", "Effect": "Allow", "Action": [ "ssm:DescribeSessions" ], "Resource": "*" }, { "Sid": "ExecuteCommand", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ecs:*:*:task/*", "arn:aws:ssm:*:*:document/AmazonECS-ExecuteInteractiveCommand" ] }, { "Sid": "CloudMapResourceCreation", "Effect": "Allow", "Action": [ "servicediscovery:CreateHttpNamespace", "servicediscovery:CreateService" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonECSManaged" ] } } }, { "Sid": "CloudMapResourceTagging", "Effect": "Allow", "Action": "servicediscovery:TagResource", "Resource": "*", "Condition": { "StringLike": { "aws:RequestTag/AmazonECSManaged": "*" } } }, { "Sid": "CloudMapResourceDeletion", "Effect": "Allow", "Action": [ "servicediscovery:DeleteService" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AmazonECSManaged": "false" } } }, { "Sid": "CloudMapResourceDiscovery", "Effect": "Allow", "Action": [ "servicediscovery:DiscoverInstances", "servicediscovery:DiscoverInstancesRevision" ], "Resource": "*" } ] }
AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
Fornisce accesso amministrativo a AWS Private Certificate Authority Secrets Manager e ad altri AWS servizi necessari per gestire le funzionalità TLS di Amazon ECS Service Connect per tuo conto.
Dettagli dell'autorizzazione
La policy IAM gestita da AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity deve includere le seguenti autorizzazioni: Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, la policy gestita AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecuritypuò essere utilizzata come guida. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste.
-
secretsmanager:CreateSecret— Consente al preside di creare il segreto. È necessario per Service Connect TLS, Amazon ECS mantiene segreta la chiave privata del cliente nel Secrets Manager del cliente. -
secretsmanager:TagResource— Consente al preside di allegare un tag al segreto creato. È necessario per Service Connect TLS, perché Amazon ECS crea il segreto per conto del cliente e allega tag a risorsa. Questi tag forniscono al cliente un modo più semplice per identificare il segreto gestito e limitare le azioni su tali segreti. -
secretsmanager:DescribeSecret— Consenti al preside di descrivere il segreto e recuperare la fase della versione corrente. È necessario che Amazon ECS esegua la rotazione dei materiali TLS di Amazon ECS Service Connect. -
secretsmanager:UpdateSecret— Consenti al preside di aggiornare il segreto. È necessario che Amazon ECS esegua la rotazione dei materiali TLS di Amazon ECS Service Connect e aggiorni il segreto con nuovi materiali. -
secretsmanager:GetSecretValue— Consenti al preside di ottenere il valore segreto. È necessario che Amazon ECS esegua la rotazione dei materiali TLS di Amazon ECS Service Connect. -
secretsmanager:PutSecretValue— Consenti al preside di inserire il valore segreto. È necessario che Amazon ECS esegua la rotazione dei materiali TLS di Amazon ECS Service Connect. -
secretsmanager:UpdateSecretVersionStage— Consenti al principale di aggiornare la fase della versione segreta. È necessario che Amazon ECS esegua la rotazione dei materiali TLS di Amazon ECS Service Connect. -
acm-pca:IssueCertificate— Consenti al preside di IssueCertificateEnd entity certificaterichiedere Amazon ECS Service Connect TLS. Era necessario che ECS generasse un certificato per il servizio upstream del cliente. -
acm-pca:GetCertificate— Consenti al preside di GetCertificateEnd entity certificaterichiedere Amazon ECS Service Connect TLS. -
acm-pca:GetCertificateAuthorityCertificate— Consenti al preside di ottenere il certificato dell'autorità di certificazione. È necessario per Amazon ECS Service Connect TLS in modo che il servizio downstream del cliente possa fidarsi del certificato dell'entità finale upstream. -
acm-pca:DescribeCertificateAuthority— Consenti al preside di ottenere dettagli sull'autorità di certificazione. È necessario che Amazon ECS Service Connect TLS riutilizzi informazioni come l'algoritmo di firma per creare la CSR (Certificate Signing Request).
Di seguito è riportata una policy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateSecret", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": [ "arn:aws:ecs:*:*:service/*/*", "arn:aws:ecs:*:*:task-set/*/*" ] }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "TagOnCreateSecret", "Effect": "Allow", "Action": "secretsmanager:TagResource", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": [ "arn:aws:ecs:*:*:service/*/*", "arn:aws:ecs:*:*:task-set/*/*" ] }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RotateTLSCertificateSecret", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:UpdateSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue", "secretsmanager:DeleteSecret", "secretsmanager:RotateSecret", "secretsmanager:UpdateSecretVersionStage" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "ecs-sc", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "ManagePrivateCertificateAuthority", "Effect": "Allow", "Action": [ "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:DescribeCertificateAuthority" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } }, { "Sid": "ManagePrivateCertificateAuthorityForIssuingEndEntityCertificate", "Effect": "Allow", "Action": [ "acm-pca:IssueCertificate" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true", "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] }
AWSApplicationAutoscalingECSServicePolicy
Non è possibile collegare AWSApplicationAutoscalingECSServicePolicy alle entità IAM. Questa policy è collegata a un ruolo collegato ai servizi che consente ad Application Auto Scaling di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Application Auto Scaling.
AWSCodeDeployRoleForECS
Non è possibile collegare AWSCodeDeployRoleForECSalle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CodeDeploy per conto dell'utente. Per ulteriori informazioni, consulta Creare un ruolo di servizio CodeDeploy nella Guida per l'AWS CodeDeploy utente.
AWSCodeDeployRoleForECSLimited
Non è possibile collegare AWSCodeDeployRoleForECSLimitedalle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CodeDeploy per conto dell'utente. Per ulteriori informazioni, consulta Creare un ruolo di servizio CodeDeploy nella Guida per l'AWS CodeDeploy utente.
Aggiornamenti Amazon ECS alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon ECS da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS sulla pagina della cronologia dei documenti di Amazon ECS.
| Modifica | Descrizione | Data |
|---|---|---|
|
Aggiungi una nuova politica AmazonECS InfrastructureRolePolicyForServiceConnectTransportLayerSecurity |
È stata aggiunta una nuova policy InfrastructureRolePolicyForServiceConnectTransportLayerSecurity AmazonECS che fornisce l'accesso amministrativo a AWS Private Certificate Authority Secrets Manager e consente alle funzionalità TLS di Amazon ECS Service Connect di funzionare correttamente. AWS KMS |
22 gennaio 2024 |
|
Aggiungi una nuova politica Amazonecs InfrastructureRolePolicyForVolumes |
La AmazonECSInfrastructureRolePolicyForVolumes politica è stata aggiunta. La policy concede le autorizzazioni necessarie ad Amazon ECS per effettuare chiamate AWS API per gestire i volumi Amazon EBS associati ai carichi di lavoro Amazon ECS. |
11 gennaio 2024 |
La policy IAM AmazonECSServiceRolePolicy gestita è stata aggiornata con nuove autorizzazioni e events autorizzazioni e aggiuntive. autoscaling autoscaling-plans |
4 dicembre 2023 | |
|
Aggiungi autorizzazioni ad Amazon EC2 ContainerServiceEventsRole |
La policy IAM AmazonECSServiceRolePolicy gestita è stata aggiornata per consentire l'accesso al funzionamento dell'API. AWS Cloud Map
DiscoverInstancesRevision |
4 ottobre 2023 |
|
Aggiungi autorizzazioni a ContainerServiceforAmazonEC2 EC2Role |
La AmazonEC2ContainerServiceforEC2Role politica è stata modificata per aggiungere l'ecs:TagResourceautorizzazione, che include una condizione che limita l'autorizzazione solo ai cluster appena creati e alle istanze di container registrate. |
6 marzo 2023 |
|
Aggiunta di autorizzazioni a AmazonECS_ FullAccess |
La AmazonECS_FullAccess politica è stata modificata per aggiungere l'elasticloadbalancing:AddTagsautorizzazione, che include una condizione che limita l'autorizzazione solo ai sistemi di bilanciamento del carico, ai gruppi target, alle regole e ai listener creati di recente. Questa autorizzazione non consente l'aggiunta di tag a risorse Elastic Load Balancing già create. |
4 gennaio 2023 |
|
Amazon ECS ha cominciato a tenere traccia delle modifiche |
Amazon ECS ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. |
8 giugno 2021 |
