IAM ロールを作成するための許可外部インスタンスをクラスターに登録するために必要なアクセス許可タスク定義を登録するために必要なアクセス許可スケジュールされたタスクの EventBridge ルールを作成するために必要なアクセス許可

Amazon ECS コンソールに必要なアクセス許可

最小権限の付与のベストプラクティスに従い、AmazonECS_FullAccess 管理ポリシーを、独自のカスタムポリシーを作成するためのテンプレートとして使用できます。これにより、特定の要件に基づいて、管理ポリシーに権限を追加し、管理ポリシーから権限を追加、または権限を取り上げることができます。詳細については、「許可の詳細」を参照してください。

IAM ロールを作成するための許可

以下のアクションでは、操作を完了するために追加のアクセス許可が必要です。

外部インスタンスの登録 - 詳細は、Amazon ECS Anywhere IAM ロールを参照してください。
タスク定義の登録 - 詳細は、Amazon ECS タスク実行IAM ロールを参照してください。
タスクのスケジューリングに使用する EventBridge ルールの作成 - 詳細は、Amazon ECS EventBridge IAM ロールを参照してください。

Amazon ECS コンソールで使用する前に IAM でロールを作成することで、これらのアクセス許可を追加できます。ロールを作成しない場合、Amazon ECS コンソールがユーザーに代わってロールを作成します。

外部インスタンスをクラスターに登録するために必要なアクセス許可

外部インスタンスをクラスターに登録し、新しい外部インスタンス (ecsExternalInstanceRole) ロールを作成する場合は、追加のアクセス許可が必要です。

以下に示す追加のアクセス許可が必要です。

iam — プリンシパルが IAM ロールとそれにアタッチするポリシーを作成し、一覧表示できるようにします。
ssm — プリンシパルが外部インスタンスを Systems Manager に登録できるようにします。

注記

既存の ecsExternalInstanceRole を選択するには、iam:GetRole および iam:PassRole のアクセス許可が必要です。

次のポリシーには必要なアクセス許可が含まれており、アクションは ecsExternalInstanceRole ロールに限定されます。


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": ["iam:PassRole","ssm:CreateActivation"],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        }
    ]
}

タスク定義を登録するために必要なアクセス許可

タスク定義を登録し、新しいタスク実行 (ecsTaskExecutionRole) ロールを作成する場合は、追加のアクセス許可が必要です。

以下に示す追加のアクセス許可が必要です。

iam — プリンシパルが IAM ロールとそれにアタッチするポリシーを作成し、一覧表示できるようにします。

注記

既存の ecsTaskExecutionRole を選択するには、iam:GetRole のアクセス許可が必要です。

次のポリシーには必要なアクセス許可が含まれており、アクションは ecsTaskExecutionRole ロールに限定されます。


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
        }
    ]
}

スケジュールされたタスクの EventBridge ルールを作成するために必要なアクセス許可

タスクをスケジュールし、新しい CloudWatch Events ロール (ecsEventsRole) ロールを作成する場合は、追加のアクセス許可が必要です。

以下に示す追加のアクセス許可が必要です。

iam — プリンシパルが IAM ロールとそれにアタッチするポリシーを作成して一覧表示し、Amazon ECS がそのロールを他のサービスに渡してロールを引き継ぐことができるようにします。

注記

既存の ecsEventsRole を選択するには、iam:GetRole および iam:PassRole のアクセス許可が必要です。

次のポリシーには必要なアクセス許可が含まれており、アクションは ecsEventsRole ロールに限定されます。


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole",
              "iam: PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsEventsRole"
        }
    ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

EventBridge IAM ロール

AWS CloudFormation を使用する Amazon ECS コンソールに必要なアクセス許可