Amazon Elastic Container Service
開発者ガイド (API バージョン 2014-11-13)

Amazon ECSIAM ポリシー、ロール、アクセス権限

デフォルトでは、IAM ユーザーには Amazon ECS リソースを作成または変更、または Amazon ECS API を使用するタスクを実行する権限がありません。つまり、Amazon ECS コンソールまたは AWS CLI を使用して実行することもできません。リソースの作成や変更およびタスクの実行を IAM ユーザーに許可するには、IAM ポリシーを作成する必要があります。ポリシーによって、特定のリソースおよび API アクションを使用するためのアクセス許可が IAM ユーザーに付与されます。続いて、そのアクセス許可が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。IAM ポリシーの一般的な情報については、IAM ユーザーガイド の「Permissions and Policies」を参照してください。カスタム IAM ポリシーの管理と作成の詳細については、「IAM ポリシーの管理」を参照してください。

同様に、Amazon ECS コンテナインスタンスは、Amazon ECS および Amazon EC2 の API の呼び出しを行うために、認証情報を使用して認証する必要があります。この認証は、コンテナインスタンスの IAM ロールを作成し、コンテナインスタンスの起動時にそのロールをコンテナインスタンスに関連付けることにより行われます。詳細については、「Amazon ECS コンテナインスタンス IAM ロール」を参照してください。Amazon ECS サービスで Elastic Load Balancing ロードバランサーを使用すると、コンテナインスタンスをロードバランサーで登録および登録解除するために、Amazon EC2 および Elastic Load Balancing の API への呼び出しがユーザーに代わって行われます。詳細については、「Amazon ECS サービススケジューラ IAM ロール」を参照してください。IAM ロールの全般的な情報については、IAM ユーザーガイドの「IAM ロール」を参照してください。

はじめに

IAM ポリシーは、1 つ以上の Amazon ECS アクションを使用するアクセス許可を付与または拒否する必要があります。さらに、このアクションで使用できるリソース(すべてのリソースか、場合によっては特定のリソース)も指定する必要があります。このポリシーには、リソースに適用する条件も含めることができます。

Amazon ECS では、リソースレベルのアクセス許可が部分的にサポートされます。これは、一部の Amazon ECS API アクションでは、ユーザーがそのアクションに使用できるリソースを指定できないことを意味します。代わりに、ユーザーがそのアクションにすべてのリソースを使用することを許可する必要があります。