Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon Elastic Container Service
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite piuttosto che scrivere le politiche autonomamente. Ci vogliono tempo ed esperienza per creare politiche gestite dai IAM clienti che forniscano al team solo le autorizzazioni di cui ha bisogno. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle politiche AWS gestite, consulta le politiche AWS gestite nella Guida IAM per l'utente.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per un elenco e le descrizioni delle politiche relative alle funzioni lavorative, consulta le politiche AWS gestite per le funzioni lavorative nella Guida per l'utente. IAM
Amazon ECS e Amazon ECR forniscono diverse politiche gestite e relazioni di fiducia che puoi associare a utenti, gruppi, ruoli, EC2 istanze Amazon e ECS attività Amazon che consentono diversi livelli di controllo su risorse e API operazioni. Puoi applicare queste policy direttamente oppure utilizzarle come punto di partenza per la creazione di tue policy. Per ulteriori informazioni sulle politiche ECR gestite di Amazon, consulta le politiche ECR gestite di Amazon.
Amazon ECS _ FullAccess
Puoi allegare la AmazonECS_FullAccess
politica alle tue IAM identità.
Questa politica concede l'accesso amministrativo alle ECS risorse Amazon e concede a un'IAMidentità (come un utente, un gruppo o un ruolo) l'accesso ai AWS servizi con cui ECS è integrato Amazon per utilizzare tutte le funzionalità di AmazonECS. L'utilizzo di questa politica consente l'accesso a tutte ECS le funzionalità di Amazon disponibili in AWS Management Console.
Dettagli dell'autorizzazione
La IAM politica AmazonECS_FullAccess
gestita include le seguenti autorizzazioni. Seguendo la best practice per concedere il privilegio minimo, è possibile utilizzare la policy gestita di AmazonECS_FullAccess
come modello per la creazione di policy personalizzate. In questo modo, è possibile rimuovere o aggiungere autorizzazioni da e verso le policy gestite in base ai requisiti specifici.
-
ecs
— Consente ai responsabili l'accesso completo a tutte le ECS API operazioni di Amazon. -
application-autoscaling
: consente ai principali di creare, descrivere e gestire risorse di Application Auto Scaling. È necessario quando si abilita la scalabilità automatica dei servizi per i ECS servizi Amazon. -
appmesh
: consente ai principali di elencare le mesh del servizio App Mesh e i nodi virtuali e di descrivere i nodi virtuali App Mesh. Ciò è necessario per l'integrazione dei ECS servizi Amazon con App Mesh. -
autoscaling
— Consente ai responsabili di creare, gestire e descrivere le risorse di Amazon EC2 Auto Scaling. È necessario quando si gestiscono gruppi Amazon EC2 Auto Scaling quando si utilizza la funzionalità di scalabilità automatica del cluster. -
cloudformation
— Consente ai mandanti di creare e gestire gli stack. AWS CloudFormation Ciò è necessario per la creazione di ECS cluster Amazon utilizzando AWS Management Console e la successiva gestione di tali cluster. -
cloudwatch
— Consente ai responsabili di creare, gestire e descrivere gli CloudWatch allarmi Amazon. -
codedeploy
— Consente ai responsabili di creare e gestire le distribuzioni delle applicazioni e di visualizzarne le configurazioni, le revisioni e gli obiettivi di distribuzione. -
sns
— Consente ai responsabili di visualizzare un elenco di SNS argomenti di Amazon. -
lambda
: consente ai principali di visualizzare un elenco di funzioni AWS Lambda e le relative configurazioni specifiche della versione. -
ec2
— Consente ai responsabili di eseguire EC2 istanze Amazon e creare e gestire percorsi, tabelle di routing, gateway Internet, gruppi di avvio, gruppi di sicurezza, cloud privati virtuali, flotte Spot e sottoreti. -
elasticloadbalancing
: consente ai principali di creare, descrivere ed eliminare i load balancer di Elastic Load Balancing. I principali saranno inoltre in grado di gestire completamente i gruppi di destinazione, gli ascoltatori e le regole dell'ascoltatore per i sistemi di bilanciamento del carico. -
events
— Consente ai mandanti di creare, gestire ed eliminare EventBridge le regole di Amazon e i relativi obiettivi. -
iam
— Consente ai dirigenti di elencare i IAM ruoli e le politiche allegate. I responsabili possono trasferire ruoli ad Amazon ECS per delegare la gestione dei EBS volumi Amazon associati alle ECS attività. I responsabili possono anche elencare i profili di istanza disponibili per le tue EC2 istanze Amazon. -
logs
— Consente ai responsabili di creare e descrivere i gruppi di log di Amazon CloudWatch Logs. I principali possono elencare anche gli eventi di log per questi gruppi di log. -
route53
: consente ai principali di creare, gestire ed eliminare le zone ospitate di Amazon Route 53. I principali possono anche visualizzare anche le informazioni e la configurazione del controllo dell'integrità di Amazon Route 53. Per ulteriori informazioni sulle zone ospitate, consulta Utilizzo di zone ospitate. -
servicediscovery
— Consente ai responsabili di creare, gestire ed eliminare AWS Cloud Map servizi e creare namespace privati. DNS
Di seguito è riportata una policy AmazonECS_FullAccess
di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ECSIntegrationsManagementPolicy", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget", "appmesh:DescribeVirtualGateway", "appmesh:DescribeVirtualNode", "appmesh:ListMeshes", "appmesh:ListVirtualGateways", "appmesh:ListVirtualNodes", "autoscaling:CreateAutoScalingGroup", "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:DeleteLaunchConfiguration", "autoscaling:Describe*", "autoscaling:UpdateAutoScalingGroup", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricStatistics", "cloudwatch:PutMetricAlarm", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetApplications", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:ContinueDeployment", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetApplicationRevision", "codedeploy:GetDeployment", "codedeploy:GetDeploymentConfig", "codedeploy:GetDeploymentGroup", "codedeploy:GetDeploymentTarget", "codedeploy:ListApplicationRevisions", "codedeploy:ListApplications", "codedeploy:ListDeploymentConfigs", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:ListDeploymentTargets", "codedeploy:RegisterApplicationRevision", "codedeploy:StopDeployment", "ec2:AssociateRouteTable", "ec2:AttachInternetGateway", "ec2:AuthorizeSecurityGroupIngress", "ec2:CancelSpotFleetRequests", "ec2:CreateInternetGateway", "ec2:CreateLaunchTemplate", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:DeleteLaunchTemplate", "ec2:DeleteSubnet", "ec2:DeleteVpc", "ec2:Describe*", "ec2:DetachInternetGateway", "ec2:DisassociateRouteTable", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:RequestSpotFleet", "ec2:RunInstances", "ecs:*", "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:CreateListener", "elasticloadbalancing:CreateLoadBalancer", "elasticloadbalancing:CreateRule", "elasticloadbalancing:CreateTargetGroup", "elasticloadbalancing:DeleteListener", "elasticloadbalancing:DeleteLoadBalancer", "elasticloadbalancing:DeleteRule", "elasticloadbalancing:DeleteTargetGroup", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeTargetGroups", "events:DeleteRule", "events:DescribeRule", "events:ListRuleNamesByTarget", "events:ListTargetsByRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets", "fsx:DescribeFileSystems", "iam:ListAttachedRolePolicies", "iam:ListInstanceProfiles", "iam:ListRoles", "lambda:ListFunctions", "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:FilterLogEvents", "route53:CreateHostedZone", "route53:DeleteHostedZone", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHostedZonesByName", "servicediscovery:CreatePrivateDnsNamespace", "servicediscovery:CreateService", "servicediscovery:DeleteService", "servicediscovery:GetNamespace", "servicediscovery:GetOperation", "servicediscovery:GetService", "servicediscovery:ListNamespaces", "servicediscovery:ListServices", "servicediscovery:UpdateService", "sns:ListTopics" ], "Resource": [ "*" ] }, { "Sid": "SSMPolicy", "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:GetParameters", "ssm:GetParametersByPath" ], "Resource": "arn:aws:ssm:*:*:parameter/aws/service/ecs*" }, { "Sid": "ManagedCloudformationResourcesCleanupPolicy", "Effect": "Allow", "Action": [ "ec2:DeleteInternetGateway", "ec2:DeleteRoute", "ec2:DeleteRouteTable", "ec2:DeleteSecurityGroup" ], "Resource": [ "*" ], "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "EC2ContainerService-*" } } }, { "Sid": "TasksPassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }, { "Sid": "InfrastructurePassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsInfrastructureRole" ], "Condition": { "StringEquals": { "iam:PassedToService": "ecs.amazonaws.com" } } }, { "Sid": "InstancePassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsInstanceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn" ] } } }, { "Sid": "AutoScalingPassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsAutoscaleRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "application-autoscaling.amazonaws.com", "application-autoscaling.amazonaws.com.cn" ] } } }, { "Sid": "ServiceLinkedRoleCreationPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "ecs.amazonaws.com", "autoscaling.amazonaws.com", "ecs.application-autoscaling.amazonaws.com", "spot.amazonaws.com", "spotfleet.amazonaws.com" ] } } }, { "Sid": "ELBTaggingPolicy", "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "elasticloadbalancing:CreateAction": [ "CreateTargetGroup", "CreateRule", "CreateListener", "CreateLoadBalancer" ] } } } ] }
- UN mazonECSInfrastructure RolePolicyForVolumes
La IAM policy AmazonECSInfrastructureRolePolicyForVolumes
gestita concede le autorizzazioni necessarie ECS ad Amazon per effettuare AWS API chiamate per tuo conto. Puoi collegare questa politica al IAM ruolo che offri nella configurazione del volume all'avvio di ECS attività e servizi Amazon. Il ruolo consente ECS ad Amazon di gestire i volumi associati alle tue attività. Per ulteriori informazioni, consulta il IAMruolo ECS dell'infrastruttura Amazon.
Dettagli dell'autorizzazione
La IAM politica AmazonECSInfrastructureRolePolicyForVolumes
gestita include le seguenti autorizzazioni. Seguendo i consigli di sicurezza standard che prevedono la concessione del privilegio minimo, è possibile utilizzare la politica AmazonECSInfrastructureRolePolicyForVolumes
gestita come modello per creare una politica personalizzata che includa solo le autorizzazioni necessarie.
-
ec2:CreateVolume
— Consente a un principale di creare un EBS volume Amazon se e solo se è etichettato con iAmazonECSManaged
tagAmazonECSCreated
and. Questa autorizzazione è necessaria per creare EBS volumi Amazon collegati alle ECS attività di Amazon e ridurre al minimo le autorizzazioni fornite ad Amazon ECS da questa politica. -
ec2:CreateTags
— Consente a un principale di aggiungere tag a un EBS volume Amazon come parte diec2:CreateVolume
. Questa autorizzazione è richiesta da Amazon ECS per aggiungere tag specificati dal cliente ai EBS volumi Amazon creati per tuo conto. -
ec2:AttachVolume
— Consente a un principale di collegare un EBS volume Amazon a un'EC2istanza Amazon. Questa autorizzazione è richiesta da Amazon ECS per collegare EBS i volumi Amazon all'EC2istanza Amazon che ospita l'ECSattività Amazon associata. -
ec2:DescribeVolume
— Consente a un preside di recuperare informazioni sui EBS volumi Amazon. Questa autorizzazione è necessaria per gestire il ciclo di vita dei volumi AmazonEBS. -
ec2:DescribeAvailabilityZones
— Consente a un responsabile di recuperare informazioni sulle zone di disponibilità nel tuo account. Ciò è necessario per gestire il ciclo di vita dei volumi. EBS -
ec2:DetachVolume
— Consente a un principale di scollegare un EBS volume Amazon da un'EC2istanza Amazon. Questa autorizzazione è richiesta da Amazon ECS per scollegare il EBS volume Amazon dall'EC2istanza Amazon che ospita l'ECSattività Amazon associata quando l'attività termina. -
ec2:DeleteVolume
— Consente a un principale di eliminare un EBS volume Amazon. Questa autorizzazione è richiesta da Amazon ECS per eliminare EBS i volumi Amazon che non vengono più utilizzati dall'ECSattività Amazon. -
ec2:DeleteTags
— Consente a un principale di eliminare ilAmazonECSManaged
tag da un EBS volume Amazon. Questa autorizzazione è richiesta da Amazon ECS per rimuovere l'accesso a un EBS volume Amazon dopo che non è più associato a un ECS carico di lavoro Amazon. Questo è applicabile solo quando un EBS volume Amazon non viene eliminato dopo l'arresto dell'attività.
Di seguito è riportata una policy AmazonECSInfrastructureRolePolicyForVolumes
di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateEBSManagedVolume", "Effect": "Allow", "Action": "ec2:CreateVolume", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true" } } }, { "Sid": "TagOnCreateVolume", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "ec2:CreateAction": "CreateVolume", "aws:RequestTag/AmazonECSManaged": "true" } } }, { "Sid": "DescribeVolumesForLifecycle", "Effect": "Allow", "Action": [ "ec2:DescribeVolumes", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Sid": "ManageEBSVolumeLifecycle", "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } }, { "Sid": "ManageVolumeAttachmentsForEC2", "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*" }, { "Sid": "DeleteEBSManagedVolume", "Effect": "Allow", "Action": "ec2:DeleteVolume", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:ResourceTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } } ] }
Amazon EC2ContainerServiceforEC2Role
Amazon ECS attribuisce questa politica a un ruolo di servizio che consente ECS ad Amazon di eseguire azioni per tuo conto contro istanze Amazon o EC2 istanze esterne.
Questa politica concede autorizzazioni amministrative che consentono alle istanze di ECS container Amazon di effettuare chiamate per tuo AWS conto. Per ulteriori informazioni, consulta IAMRuolo dell'istanza di ECS container Amazon.
Considerazioni
È necessario prendere in considerazione i seguenti consigli e considerazioni quando si utilizza la politica gestita. AmazonEC2ContainerServiceforEC2Role
IAM
-
Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, è possibile modificare la policy gestita da
AmazonEC2ContainerServiceforEC2Role
per soddisfare le esigenze specifiche. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste. Ad esempio, l'autorizzazioneUpdateContainerInstancesState
è fornita per lo svuotamento dell'istanza Spot. Se tale autorizzazione non è necessaria per il tuo caso d'uso, escludila utilizzando una policy personalizzata. Per ulteriori informazioni, consulta Dettagli dell'autorizzazione. -
I container in esecuzione sulle tue istanze di container hanno accesso a tutte le autorizzazioni che vengono fornite al ruolo dell'istanza di container tramite i metadati dell'istanza. Consigliamo di limitare le autorizzazioni nel ruolo dell'istanza di container all'elenco minimo delle autorizzazioni fornito nella policy
AmazonEC2ContainerServiceforEC2Role
gestita. Se i contenitori delle tue attività richiedono autorizzazioni aggiuntive che non sono elencate, ti consigliamo di assegnare a tali attività i propri ruoli. IAM Per ulteriori informazioni, consulta IAMRuolo ECS dell'attività di Amazon.È possibile impedire ai contenitori nel bridge
docker0
l'accesso alle autorizzazioni fornite al ruolo dell'istanza di container. È possibile farlo pur concedendo le autorizzazioni fornite da IAMRuolo ECS dell'attività di Amazon eseguendo il seguente comando iptables sulle istanze del container. I container non possono eseguire query sui metadati dell'istanza con questa regola in vigore. Questo comando presuppone la configurazione del bridge Docker di default e non funziona per i container che utilizzano la modalità di retehost
. Per ulteriori informazioni, consulta Modalità di rete.sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
Per fare in modo che la regola iptables venga conservata dopo un riavvio, devi salvarla sull'istanza di container. Per Amazon ECS -optimizedAMI, usa il seguente comando. Per gli altri sistemi operativi, consulta la relativa documentazione specifica.
-
Per Amazon Linux 2 ECS AMI ottimizzato per Amazon:
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
-
Per Amazon Linux ECS AMI ottimizzato per Amazon:
sudo service iptables save
-
Dettagli dell'autorizzazione
La IAM politica AmazonEC2ContainerServiceforEC2Role
gestita include le seguenti autorizzazioni. Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, la policy gestita AmazonEC2ContainerServiceforEC2Role
può essere utilizzata come guida. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste.
-
ec2:DescribeTags
— Consente a un principale di descrivere i tag associati a un'EC2istanza Amazon. Questa autorizzazione viene utilizzata dall'agente ECS container Amazon per supportare la propagazione dei tag di risorse. Per ulteriori informazioni, consulta Assegnazione di tag alle risorse. -
ecs:CreateCluster
— Consente a un preside di creare un ECS cluster Amazon. Questa autorizzazione viene utilizzata dall'agente Amazon ECS Container per creare undefault
cluster, se non ne esiste già uno. -
ecs:DeregisterContainerInstance
— Consente a un principale di annullare la registrazione di un'istanza di ECS container Amazon da un cluster. L'agente ECS container Amazon non chiama questa API operazione, ma questa autorizzazione rimane per garantire la compatibilità con le versioni precedenti. -
ecs:DiscoverPollEndpoint
— Questa azione restituisce gli endpoint utilizzati dall'agente Amazon ECS Container per verificare la presenza di aggiornamenti. -
ecs:Poll
— Consente all'agente Amazon ECS Container di comunicare con il piano di ECS controllo di Amazon per segnalare le modifiche allo stato delle attività. -
ecs:RegisterContainerInstance
: consente a un principale di annullare la registrazione di un'istanza di container con un cluster. Questa autorizzazione viene utilizzata dall'agente ECS container Amazon per registrare l'EC2istanza Amazon in un cluster e per supportare la propagazione dei tag di risorse. -
ecs:StartTelemetrySession
— Consente all'agente Amazon ECS Container di comunicare con il piano di ECS controllo di Amazon per riportare informazioni e parametri sanitari per ogni container e attività. -
ecs:TagResource
— Consente all'agente ECS container Amazon di etichettare il cluster al momento della creazione e di etichettare le istanze di container quando sono registrate in un cluster. -
ecs:UpdateContainerInstancesState
— Consente a un principale di modificare lo stato di un'istanza di ECS container Amazon. Questa autorizzazione viene utilizzata dall'agente ECS container Amazon per il drenaggio delle istanze Spot. -
ecs:Submit*
— Ciò includeSubmitAttachmentStateChanges
leSubmitContainerStateChange
SubmitTaskStateChange
API azioni e. Vengono utilizzati dall'agente ECS container di Amazon per segnalare le modifiche di stato di ciascuna risorsa al piano di ECS controllo di Amazon. L'SubmitContainerStateChange
autorizzazione non viene più utilizzata dall'agente Amazon ECS Container, ma serve a garantire la compatibilità con le versioni precedenti. -
ecr:GetAuthorizationToken
: consente a un principale di recuperare un token di autorizzazione. Il token di autorizzazione rappresenta le tue credenziali di IAM autenticazione e può essere utilizzato per accedere a qualsiasi ECR registro Amazon a cui il IAM mandante ha accesso. Il token di autorizzazione ricevuto è valido per 12 ore. -
ecr:BatchCheckLayerAvailability
— Quando l'immagine di un contenitore viene inviata a un repository ECR privato Amazon, ogni livello di immagine viene controllato per verificare se è già stato inviato. Se lo è, il livello dell'immagine viene ignorato. -
ecr:GetDownloadUrlForLayer
— Quando l'immagine di un contenitore viene estratta da un repository ECR privato di Amazon, API viene chiamata una volta per ogni livello di immagine che non è già memorizzato nella cache. -
ecr:BatchGetImage
— Quando l'immagine di un contenitore viene estratta da un repository ECR privato di Amazon, API viene chiamata una volta per recuperare il manifesto dell'immagine. -
logs:CreateLogStream
— Consente a un principale di creare un flusso di log di CloudWatch Logs per un gruppo di log specificato. -
logs:PutLogEvents
: consente a un principale di caricare un batch di eventi di log in un flusso di log specificato.
Di seguito è riportata una policy AmazonEC2ContainerServiceforEC2Role
di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ecs:CreateCluster", "ecs:DeregisterContainerInstance", "ecs:DiscoverPollEndpoint", "ecs:Poll", "ecs:RegisterContainerInstance", "ecs:StartTelemetrySession", "ecs:UpdateContainerInstancesState", "ecs:Submit*", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": [ "CreateCluster", "RegisterContainerInstance" ] } } } ] }
Amazon EC2ContainerServiceEventsRole
Questa politica concede autorizzazioni che consentono ad Amazon EventBridge (precedentemente CloudWatch Events) di eseguire attività per tuo conto. Questa politica può essere associata al IAM ruolo specificato quando crei attività pianificate. Per ulteriori informazioni, consulta ECS EventBridge IAMRuolo di Amazon.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
ecs
— Consente a un responsabile di un servizio di chiamare Amazon ECS RunTask API. Consente a un responsabile di un servizio di aggiungere tag (TagResource
) quando chiama Amazon ECS RunTask API. -
iam
— Consente di trasferire qualsiasi ruolo di IAM servizio a qualsiasi ECS attività Amazon.
Di seguito è riportata una policy AmazonEC2ContainerServiceEventsRole
di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:RunTask"], "Resource": ["*"] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": ["*"], "Condition": { "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"} } }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": ["RunTask"] } } } ] }
A mazonECSTask ExecutionRolePolicy
La IAM policy AmazonECSTaskExecutionRolePolicy
gestita concede le autorizzazioni necessarie all'agente ECS container Amazon e agli agenti AWS Fargate container per effettuare AWS API chiamate per tuo conto. Questa politica può essere aggiunta al tuo ruolo di esecuzione IAM delle attività. Per ulteriori informazioni, consulta IAMRuolo di esecuzione delle ECS attività di Amazon.
Dettagli dell'autorizzazione
La IAM politica AmazonECSTaskExecutionRolePolicy
gestita include le seguenti autorizzazioni. Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, la policy gestita AmazonECSTaskExecutionRolePolicy
può essere utilizzata come guida. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste.
-
ecr:GetAuthorizationToken
: consente a un principale di recuperare un token di autorizzazione. Il token di autorizzazione rappresenta le tue credenziali di IAM autenticazione e può essere utilizzato per accedere a qualsiasi ECR registro Amazon a cui il IAM mandante ha accesso. Il token di autorizzazione ricevuto è valido per 12 ore. -
ecr:BatchCheckLayerAvailability
— Quando l'immagine di un contenitore viene inviata a un repository ECR privato Amazon, ogni livello di immagine viene controllato per verificare se è già stato inviato. Se viene premuto, il livello dell'immagine viene ignorato. -
ecr:GetDownloadUrlForLayer
— Quando l'immagine di un contenitore viene estratta da un repository ECR privato di Amazon, API viene chiamata una volta per ogni livello di immagine che non è già memorizzato nella cache. -
ecr:BatchGetImage
— Quando l'immagine di un contenitore viene estratta da un repository ECR privato di Amazon, API viene chiamata una volta per recuperare il manifesto dell'immagine. -
logs:CreateLogStream
— Consente a un principale di creare un flusso di log di CloudWatch Logs per un gruppo di log specificato. -
logs:PutLogEvents
: consente a un principale di caricare un batch di eventi di log in un flusso di log specificato.
Di seguito è riportata una policy AmazonECSTaskExecutionRolePolicy
di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
A mazonECSService RolePolicy
La IAM policy AmazonECSServiceRolePolicy
gestita consente ad Amazon Elastic Container Service di gestire il cluster. Questa policy può essere aggiunta al tuo IAM ruolo di esecuzione delle attività. Per ulteriori informazioni, consulta IAMRuolo di esecuzione delle ECS attività di Amazon.
Dettagli dell'autorizzazione
La IAM politica AmazonECSServiceRolePolicy
gestita include le seguenti autorizzazioni. Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, la policy gestita AmazonECSServiceRolePolicy
può essere utilizzata come guida. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste.
-
autoscaling
— Consente ai responsabili di creare, gestire e descrivere le risorse di Amazon EC2 Auto Scaling. È necessario quando si gestiscono gruppi Amazon EC2 Auto Scaling quando si utilizza la funzionalità di scalabilità automatica del cluster. -
autoscaling-plans
: consente ai principali di creare, eliminare e descrivere i piani di dimensionamento automatico. -
cloudwatch
— Consente ai responsabili di creare, gestire e descrivere gli CloudWatch allarmi Amazon. -
ec2
— Consente ai principali di eseguire EC2 istanze Amazon e creare e gestire interfacce e tag di rete. -
elasticloadbalancing
: consente ai principali di creare, descrivere ed eliminare i load balancer di Elastic Load Balancing. I presidi saranno inoltre in grado di aggiungere e descrivere i gruppi target. -
logs
— Consente ai responsabili di creare e descrivere i gruppi di log di Amazon CloudWatch Logs. I principali possono elencare anche gli eventi di log per questi gruppi di log. -
route53
: consente ai principali di creare, gestire ed eliminare le zone ospitate di Amazon Route 53. I principali possono anche visualizzare anche le informazioni e la configurazione del controllo dell'integrità di Amazon Route 53. Per ulteriori informazioni sulle zone ospitate, consulta Utilizzo di zone ospitate. -
servicediscovery
— Consente ai responsabili di creare, gestire ed eliminare AWS Cloud Map servizi e creare namespace privati. DNS -
events
— Consente ai mandanti di creare, gestire ed eliminare EventBridge le regole di Amazon e i relativi obiettivi.
Di seguito è riportata una policy AmazonECSServiceRolePolicy
di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ECSTaskManagement", "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:Describe*", "ec2:DetachNetworkInterface", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DeregisterTargets", "elasticloadbalancing:Describe*", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:DeleteHealthCheck", "route53:Get*", "route53:List*", "route53:UpdateHealthCheck", "servicediscovery:DeregisterInstance", "servicediscovery:Get*", "servicediscovery:List*", "servicediscovery:RegisterInstance", "servicediscovery:UpdateInstanceCustomHealthStatus" ], "Resource": "*" }, { "Sid": "AutoScaling", "Effect": "Allow", "Action": [ "autoscaling:Describe*" ], "Resource": "*" }, { "Sid": "AutoScalingManagement", "Effect": "Allow", "Action": [ "autoscaling:DeletePolicy", "autoscaling:PutScalingPolicy", "autoscaling:SetInstanceProtection", "autoscaling:UpdateAutoScalingGroup", "autoscaling:PutLifecycleHook", "autoscaling:DeleteLifecycleHook", "autoscaling:CompleteLifecycleAction", "autoscaling:RecordLifecycleActionHeartbeat" ], "Resource": "*", "Condition": { "Null": { "autoscaling:ResourceTag/AmazonECSManaged": "false" } } }, { "Sid": "AutoScalingPlanManagement", "Effect": "Allow", "Action": [ "autoscaling-plans:CreateScalingPlan", "autoscaling-plans:DeleteScalingPlan", "autoscaling-plans:DescribeScalingPlans", "autoscaling-plans:DescribeScalingPlanResources" ], "Resource": "*" }, { "Sid": "EventBridge", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": "arn:aws:events:*:*:rule/ecs-managed-*" }, { "Sid": "EventBridgeRuleManagement", "Effect": "Allow", "Action": [ "events:PutRule", "events:PutTargets" ], "Resource": "*", "Condition": { "StringEquals": { "events:ManagedBy": "ecs.amazonaws.com" } } }, { "Sid": "CWAlarmManagement", "Effect": "Allow", "Action": [ "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Sid": "ECSTagging", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*" }, { "Sid": "CWLogGroupManagement", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*" }, { "Sid": "CWLogStreamManagement", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*:log-stream:*" }, { "Sid": "ExecuteCommandSessionManagement", "Effect": "Allow", "Action": [ "ssm:DescribeSessions" ], "Resource": "*" }, { "Sid": "ExecuteCommand", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ecs:*:*:task/*", "arn:aws:ssm:*:*:document/AmazonECS-ExecuteInteractiveCommand" ] }, { "Sid": "CloudMapResourceCreation", "Effect": "Allow", "Action": [ "servicediscovery:CreateHttpNamespace", "servicediscovery:CreateService" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonECSManaged" ] } } }, { "Sid": "CloudMapResourceTagging", "Effect": "Allow", "Action": "servicediscovery:TagResource", "Resource": "*", "Condition": { "StringLike": { "aws:RequestTag/AmazonECSManaged": "*" } } }, { "Sid": "CloudMapResourceDeletion", "Effect": "Allow", "Action": [ "servicediscovery:DeleteService" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AmazonECSManaged": "false" } } }, { "Sid": "CloudMapResourceDiscovery", "Effect": "Allow", "Action": [ "servicediscovery:DiscoverInstances", "servicediscovery:DiscoverInstancesRevision" ], "Resource": "*" } ] }
AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
Fornisce accesso amministrativo a AWS Private Certificate Authority Secrets Manager e ad altri AWS servizi necessari per gestire le TLS funzionalità ECS di Amazon Service Connect per tuo conto.
Dettagli dell'autorizzazione
La IAM politica AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
gestita include le seguenti autorizzazioni. Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, la policy gestita AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
può essere utilizzata come guida. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste.
-
secretsmanager:CreateSecret
— Consente al preside di creare il segreto. È necessario per Service ConnectTLS, Amazon ECS mantiene segreta la chiave privata del cliente nel Secrets Manager del cliente. -
secretsmanager:TagResource
— Consente al preside di allegare un tag al segreto creato. È necessario per Service ConnectTLS, perché Amazon ECS crea il segreto per conto del cliente e allega tag con risorsa. Questi tag forniscono al cliente un modo più semplice per identificare il segreto gestito e limitare le azioni su tali segreti. -
secretsmanager:DescribeSecret
— Consenti al preside di descrivere il segreto e recuperare la fase della versione corrente. È necessario che Amazon ECS esegua la rotazione TLS dei materiali ECS di Amazon Service Connect. -
secretsmanager:UpdateSecret
— Consenti al preside di aggiornare il segreto. È necessario che Amazon ECS esegua la rotazione TLS dei materiali ECS di Amazon Service Connect e aggiorni il segreto con nuovi materiali. -
secretsmanager:GetSecretValue
— Consenti al preside di ottenere il valore segreto. È necessario che Amazon ECS esegua la rotazione TLS dei materiali ECS di Amazon Service Connect. -
secretsmanager:PutSecretValue
— Consenti al preside di inserire il valore segreto. È necessario che Amazon ECS esegua la rotazione TLS dei materiali ECS di Amazon Service Connect. -
secretsmanager:UpdateSecretVersionStage
— Consenti al principale di aggiornare la fase della versione segreta. È necessario che Amazon ECS esegua la rotazione TLS dei materiali ECS di Amazon Service Connect. -
acm-pca:IssueCertificate
— Consenti al preside di IssueCertificateEnd entity certificate
richiedere Amazon ECS Service ConnectTLS. È necessario per ECS generare un certificato per il servizio upstream del cliente. -
acm-pca:GetCertificate
— Consenti al preside di GetCertificateEnd entity certificate
richiedere Amazon ECS Service ConnectTLS. -
acm-pca:GetCertificateAuthorityCertificate
— Consenti al preside di ottenere il certificato dell'autorità di certificazione. È necessario per Amazon ECS Service Connect TLS in modo che il servizio downstream del cliente possa fidarsi del certificato dell'entità finale upstream. -
acm-pca:DescribeCertificateAuthority
— Consenti al preside di ottenere dettagli sull'autorità di certificazione. È necessario che Amazon ECS Service Connect TLS riutilizzi informazioni come l'algoritmo di firma per creare la CSR (Richiesta di firma del certificato).
Di seguito è riportata una policy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateSecret", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": [ "arn:aws:ecs:*:*:service/*/*", "arn:aws:ecs:*:*:task-set/*/*" ] }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "TagOnCreateSecret", "Effect": "Allow", "Action": "secretsmanager:TagResource", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": [ "arn:aws:ecs:*:*:service/*/*", "arn:aws:ecs:*:*:task-set/*/*" ] }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RotateTLSCertificateSecret", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:UpdateSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue", "secretsmanager:DeleteSecret", "secretsmanager:RotateSecret", "secretsmanager:UpdateSecretVersionStage" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "ecs-sc", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "ManagePrivateCertificateAuthority", "Effect": "Allow", "Action": [ "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:DescribeCertificateAuthority" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } }, { "Sid": "ManagePrivateCertificateAuthorityForIssuingEndEntityCertificate", "Effect": "Allow", "Action": [ "acm-pca:IssueCertificate" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true", "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] }
AWSApplicationAutoscalingECSServicePolicy
Non puoi collegarti AWSApplicationAutoscalingECSServicePolicy
alle tue IAM entità. Questa policy è collegata a un ruolo collegato ai servizi che consente ad Application Auto Scaling di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Application Auto Scaling.
AWSCodeDeployRoleForECS
Non puoi collegarti AWSCodeDeployRoleForECS
alle tue IAM entità. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CodeDeploy per conto dell'utente. Per ulteriori informazioni, consulta Creare un ruolo di servizio CodeDeploy nella Guida per l'AWS CodeDeploy utente.
AWSCodeDeployRoleForECSLimited
Non puoi collegarti AWSCodeDeployRoleForECSLimited
alle tue IAM entità. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CodeDeploy per conto dell'utente. Per ulteriori informazioni, consulta Creare un ruolo di servizio CodeDeploy nella Guida per l'AWS CodeDeploy utente.
ECSAggiornamenti Amazon alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon ECS da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia di Amazon ECS Document.
Modifica | Descrizione | Data |
---|---|---|
Autorizzazioni aggiunte a Amazon ECS _ FullAccess |
La AmazonECS_FullAccess politica è stata aggiornata per aggiungere iam:PassRole le autorizzazioni per IAM i ruoli per un ruolo denominato. ecsInfrastructureRole Questo è il IAM ruolo predefinito creato da AWS Management Console che deve essere utilizzato come ruolo di ECS infrastruttura che consente ECS ad Amazon di gestire i EBS volumi Amazon collegati alle ECS attività. |
13 agosto 2024 |
Aggiungi una nuova politica A mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity |
È stata aggiunta una nuova mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity policy che fornisce l'accesso amministrativo a AWS KMS Secrets Manager e consente alle TLS funzionalità ECS di Amazon Service Connect di funzionare correttamente. AWS Private Certificate Authority |
22 gennaio 2024 |
Aggiungi nuova politica A mazonECSInfrastructure RolePolicyForVolumes |
La AmazonECSInfrastructureRolePolicyForVolumes politica è stata aggiunta. La policy concede le autorizzazioni necessarie ECS ad Amazon per effettuare AWS API chiamate per gestire i EBS volumi Amazon associati ai carichi di lavoro AmazonECS. |
11 gennaio 2024 |
La IAM politica AmazonECSServiceRolePolicy gestita è stata aggiornata con nuove events autorizzazioni e autorizzazioni autoscaling e autoscaling-plans aggiuntive. |
4 dicembre 2023 | |
Aggiungi autorizzazioni ad Amazon EC2ContainerServiceEventsRole |
La IAM policy AmazonECSServiceRolePolicy gestita è stata aggiornata per consentire l'accesso all' AWS Cloud Map
DiscoverInstancesRevision APIoperazione. |
4 ottobre 2023 |
Aggiungi autorizzazioni ad Amazon EC2ContainerServiceforEC2Role |
La AmazonEC2ContainerServiceforEC2Role politica è stata modificata per aggiungere l'ecs:TagResource autorizzazione, che include una condizione che limita l'autorizzazione solo ai cluster appena creati e alle istanze di container registrate. |
6 marzo 2023 |
Aggiunta di autorizzazioni a Amazon ECS _ FullAccess |
La AmazonECS_FullAccess politica è stata modificata per aggiungere l'elasticloadbalancing:AddTags autorizzazione, che include una condizione che limita l'autorizzazione solo ai sistemi di bilanciamento del carico, ai gruppi target, alle regole e ai listener creati di recente. Questa autorizzazione non consente l'aggiunta di tag a risorse Elastic Load Balancing già create. |
4 gennaio 2023 |
Amazon ECS ha iniziato a tracciare le modifiche |
Amazon ECS ha iniziato a tracciare le modifiche alle sue politiche AWS gestite. |
8 giugno 2021 |