Amazon ECS_ FullAccess Amazon ECSInfrastructure RolePolicyForVolumes EC2ContainerServiceforEC2Ruolo di Amazon Amazon EC2 ContainerServiceEventsRole Amazon ECSTask ExecutionRolePolicy Amazon ECSService RolePolicy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity AWSApplicationAutoscalingECSServicePolicy AWSCodeDeployRoleForECS AWSCodeDeployRoleForECSLimited AmazonECSInfrastructureRolePolicyForVpcLattice Aggiornamenti alle policy

AWS politiche gestite per Amazon Elastic Container Service

Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite piuttosto che scrivere le politiche autonomamente. Creare policy gestite dal cliente IAM per fornire al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle policy AWS gestite, consulta le policy AWS gestite nella IAM User Guide.

AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.

Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l'elenco e la descrizione delle policy di funzione dei processi, consulta la sezione Policy gestite da AWS per funzioni di processi nella Guida per l'utente di IAM.

Amazon ECS e Amazon ECR forniscono diverse politiche gestite e relazioni di fiducia che puoi associare a utenti, gruppi, ruoli, EC2 istanze Amazon e attività di Amazon ECS che consentono diversi livelli di controllo sulle risorse e sulle operazioni API. Puoi applicare queste policy direttamente oppure utilizzarle come punto di partenza per la creazione di tue policy. Per ulteriori informazioni sulle policy gestite da Amazon ECR, consulta Policy gestite da Amazon ECR.

Amazon ECS_ FullAccess

È possibile allegare la policy AmazonECS_FullAccess alle identità IAM. Questa policy concede l'accesso amministrativo alle risorse di Amazon ECS e concede a un'identità IAM (ad esempio un utente, un gruppo o un ruolo) l'accesso ai servizi con AWS cui è integrato Amazon ECS per utilizzare tutte le funzionalità di Amazon ECS. L'utilizzo di questa policy consente di accedere a tutte le funzioni Amazon ECS disponibili nella AWS Management Console.

Per visualizzare le autorizzazioni per questa politica, consulta FullAccessAmazonECS_ nel Managed Policy Reference.AWS

Amazon ECSInfrastructure RolePolicyForVolumes

Puoi allegare la policy AmazonECSInfrastructureRolePolicyForVolumes gestita alle tue entità IAM.

La policy concede le autorizzazioni necessarie ad Amazon ECS per effettuare chiamate AWS API per tuo conto. Puoi collegare questa policy al ruolo IAM che fornisci con la configurazione del volume quando avvii attività e servizi Amazon ECS. Il ruolo consente ad Amazon ECS di gestire i volumi collegati alle tue attività. Per ulteriori informazioni, consulta il ruolo IAM dell'infrastruttura Amazon ECS.

Per visualizzare le autorizzazioni per questa politica, consulta Amazon ECSInfrastructure RolePolicyForVolumes nel AWS Managed Policy Reference.

EC2ContainerServiceforEC2Ruolo di Amazon

È possibile allegare la policy AmazonEC2ContainerServiceforEC2Role alle identità IAM. Questa politica concede autorizzazioni amministrative che consentono alle istanze di container Amazon ECS di effettuare chiamate per AWS tuo conto. Per ulteriori informazioni, consulta Ruolo IAM delle istanze di container Amazon ECS.

Amazon ECS associa questa politica a un ruolo di servizio che consente ad Amazon ECS di eseguire azioni per tuo conto contro istanze Amazon o EC2 istanze esterne.

Per visualizzare le autorizzazioni per questa politica, consulta Amazon EC2 ContainerServicefor EC2 Role nel AWS Managed Policy Reference.

Considerazioni

È opportuno considerare i seguenti suggerimenti e considerazioni quando usi la policy IAM gestita da AmazonEC2ContainerServiceforEC2Role.

Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, è possibile modificare la policy gestita da AmazonEC2ContainerServiceforEC2Role per soddisfare le esigenze specifiche. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste. Ad esempio, l'autorizzazione UpdateContainerInstancesState è fornita per lo svuotamento dell'istanza Spot. Se tale autorizzazione non è necessaria per il tuo caso d'uso, escludila utilizzando una policy personalizzata.
I container in esecuzione sulle tue istanze di container hanno accesso a tutte le autorizzazioni che vengono fornite al ruolo dell'istanza di container tramite i metadati dell'istanza. Consigliamo di limitare le autorizzazioni nel ruolo dell'istanza di container all'elenco minimo delle autorizzazioni fornito nella policy AmazonEC2ContainerServiceforEC2Role gestita. Se i container nei tuoi processi hanno bisogno di autorizzazioni aggiuntive non elencate di seguito, ti consigliamo di fornire a tali processi i relativi ruoli IAM. Per ulteriori informazioni, consulta Ruolo IAM dell'attività Amazon ECS.

È possibile impedire ai contenitori nel bridge docker0l'accesso alle autorizzazioni fornite al ruolo dell'istanza di container. È possibile farlo pur concedendo le autorizzazioni fornite da Ruolo IAM dell'attività Amazon ECS eseguendo il seguente comando iptables sulle istanze del container. I container non possono eseguire query sui metadati dell'istanza con questa regola in vigore. Questo comando presuppone la configurazione del bridge Docker di default e non funziona per i container che utilizzano la modalità di rete host. Per ulteriori informazioni, consulta Modalità di rete.
```
sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
```
Per fare in modo che la regola iptables venga conservata dopo un riavvio, devi salvarla sull'istanza di container. Per l'AMI ottimizzata per Amazon ECS, utilizza il comando riportato di seguito. Per gli altri sistemi operativi, consulta la relativa documentazione specifica.
- Per l'AMI Amazon Linux 2 ottimizzata per Amazon ECS:
```
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
```
- Per l'AMI Amazon Linux ottimizzata per Amazon ECS:
```
sudo service iptables save
```

Amazon EC2 ContainerServiceEventsRole

È possibile allegare la policy AmazonEC2ContainerServiceEventsRole alle identità IAM. Questa politica concede autorizzazioni che consentono ad Amazon EventBridge (precedentemente CloudWatch Events) di eseguire attività per tuo conto. Questa policy può essere associata al ruolo IAM specificato quando si creano processi pianificati. Per ulteriori informazioni, consulta Ruolo EventBridge IAM di Amazon ECS.

Per visualizzare le autorizzazioni per questa politica, consulta Amazon EC2 ContainerServiceEventsRole nel AWS Managed Policy Reference.

Amazon ECSTask ExecutionRolePolicy

La policy IAM AmazonECSTaskExecutionRolePolicy gestita concede le autorizzazioni necessarie all'agente container Amazon ECS e agli agenti AWS Fargate container per effettuare chiamate AWS API per tuo conto. Questa policy può essere aggiunta al ruolo IAM di esecuzione dell''attività. Per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS.

Per visualizzare le autorizzazioni per questa politica, consulta Amazon ECSTask ExecutionRolePolicy nel AWS Managed Policy Reference.

Amazon ECSService RolePolicy

La policy IAM gestita AmazonECSServiceRolePolicy consente ad Amazon Elastic Container Service di gestire il cluster. Questa policy può essere aggiunta al ruolo IAM di esecuzione dell''attività. Per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS.

Per visualizzare le autorizzazioni per questa politica, consulta Amazon ECSService RolePolicy nel AWS Managed Policy Reference.

`AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`

Puoi collegare la policy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity anche alle tue entità IAM. Questa policy concede l'accesso amministrativo a AWS Private Certificate Authority Secrets Manager e ad altri AWS servizi necessari per gestire le funzionalità TLS di Amazon ECS Service Connect per tuo conto.

Per visualizzare le autorizzazioni per questa politica, consulta Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity nel AWS Managed Policy Reference.

`AWSApplicationAutoscalingECSServicePolicy`

Non è possibile collegare AWSApplicationAutoscalingECSServicePolicy alle entità IAM. Questa policy è collegata a un ruolo collegato ai servizi che consente ad Application Auto Scaling di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Application Auto Scaling.

Per visualizzare le autorizzazioni per questa politica, consulta AWSApplicationAutoscaling Policy nel Managed ECSService Policy Reference.AWS

`AWSCodeDeployRoleForECS`

Non è possibile collegare AWSCodeDeployRoleForECSalle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CodeDeploy per conto dell'utente. Per ulteriori informazioni, consulta Creare un ruolo di servizio CodeDeploy nella Guida per l'AWS CodeDeploy utente.

Per visualizzare le autorizzazioni per questa politica, consulta AWSCodeDeployRoleForECS nel AWS Managed Policy Reference.

`AWSCodeDeployRoleForECSLimited`

Non è possibile collegare AWSCodeDeployRoleForECSLimitedalle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CodeDeploy per tuo conto. Per ulteriori informazioni, consulta Creare un ruolo di servizio CodeDeploy nella Guida per l'AWS CodeDeploy utente.

Per vedere le autorizzazioni per questa policy, consulta AWSCodeDeployRoleForECSLimited nella Guida di riferimento sulle policy gestite da AWS .

`AmazonECSInfrastructureRolePolicyForVpcLattice`

Puoi collegare la policy AmazonECSInfrastructureRolePolicyForVpcLattice anche alle tue entità IAM. Questa policy fornisce l'accesso ad altre risorse di AWS servizio necessarie per gestire la funzionalità VPC Lattice nei carichi di lavoro Amazon ECS per tuo conto.

Per visualizzare le autorizzazioni per questa politica, consulta Amazon ECSInfrastructure RolePolicyForVpcLattice nel AWS Managed Policy Reference.

Fornisce l'accesso ad altre risorse AWS di servizio necessarie per gestire la funzionalità VPC Lattice nei carichi di lavoro Amazon ECS per tuo conto.

Aggiornamenti Amazon ECS alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon ECS da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS sulla pagina della cronologia dei documenti di Amazon ECS.

Modifica	Descrizione	Data
Aggiungi un nuovo Amazon ECSInfrastructure RolePolicyForVpcLattice	Fornisce l'accesso ad altre risorse AWS di servizio necessarie per gestire la funzionalità VPC Lattice nei carichi di lavoro Amazon ECS per tuo conto.	18 novembre 2024
Aggiungi autorizzazioni ad Amazon ECSInfrastructure RolePolicyForVolumes	La `AmazonECSInfrastructureRolePolicyForVolumes` policy è stata aggiornata per consentire ai clienti di creare un volume Amazon EBS da uno snapshot.	10 ottobre 2024
Autorizzazioni aggiunte a Amazon ECS_ FullAccess	La `AmazonECS_FullAccess` policy è stata aggiornata per aggiungere `iam:PassRole` le autorizzazioni per i ruoli IAM per un ruolo denominato. `ecsInfrastructureRole` Questo è il ruolo IAM predefinito creato da AWS Management Console che deve essere utilizzato come ruolo dell'infrastruttura ECS che consente ad Amazon ECS di gestire i volumi Amazon EBS collegati alle attività ECS.	13 agosto 2024
Aggiungi una nuova ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politica di Amazon	È stata aggiunta una nuova ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity policy di Amazon che fornisce l'accesso amministrativo a AWS KMS Secrets Manager e consente alle funzionalità TLS di Amazon ECS Service Connect di funzionare correttamente. AWS Private Certificate Authority	22 gennaio 2024
Aggiungi una nuova politica Amazon ECSInfrastructure RolePolicyForVolumes	La `AmazonECSInfrastructureRolePolicyForVolumes` politica è stata aggiunta. La policy concede le autorizzazioni necessarie ad Amazon ECS per effettuare chiamate AWS API per gestire i volumi Amazon EBS associati ai carichi di lavoro Amazon ECS.	11 gennaio 2024
Aggiungi autorizzazioni ad Amazon ECSService RolePolicy	La policy IAM `AmazonECSServiceRolePolicy` gestita è stata aggiornata con nuove `events` autorizzazioni e autorizzazioni `autoscaling` e `autoscaling-plans` aggiuntive.	4 dicembre 2023
Aggiungi autorizzazioni ad Amazon EC2 ContainerServiceEventsRole	La policy IAM `AmazonECSServiceRolePolicy` gestita è stata aggiornata per consentire l'accesso al funzionamento dell' AWS Cloud Map `DiscoverInstancesRevision`API.	4 ottobre 2023
Aggiungi autorizzazioni ad Amazon EC2 ContainerServicefor EC2 Role	La `AmazonEC2ContainerServiceforEC2Role` politica è stata modificata per aggiungere l'`ecs:TagResource`autorizzazione, che include una condizione che limita l'autorizzazione solo ai cluster appena creati e alle istanze di container registrate.	6 marzo 2023
Aggiunta di autorizzazioni a Amazon ECS_ FullAccess	La `AmazonECS_FullAccess` politica è stata modificata per aggiungere l'`elasticloadbalancing:AddTags`autorizzazione, che include una condizione che limita l'autorizzazione solo ai sistemi di bilanciamento del carico, ai gruppi target, alle regole e ai listener creati di recente. Questa autorizzazione non consente l'aggiunta di tag a risorse Elastic Load Balancing già create.	4 gennaio 2023
Amazon ECS ha cominciato a tenere traccia delle modifiche	Amazon ECS ha iniziato a tracciare le modifiche per le sue politiche AWS gestite.	8 giugno 2021

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate su identità

AWS politiche gestite che vengono eliminate gradualmente per Amazon ECS