Amazon Elastic Container Service に関する AWS 管理ポリシー - Amazon Elastic Container Service

Amazon Elastic Container Service に関する AWS 管理ポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象範囲に含めており、AWS アカウントで利用できます。AWS マネージドポリシーの詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスはAWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスはAWS マネージドポリシーから権限を削除しないため、ポリシーの更新によって既存の権限が破棄されることはありません。

さらに、AWS は複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーではすべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

Amazon ECS および Amazon ECR では、ユーザー、グループ、ロール、Amazon EC2 インスタンス、および Amazon ECS タスクにアタッチして、リソースや API オペレーションで異なる制御レベルを使用できる複数の管理ポリシーと信頼関係を提供しています。これらのポリシーを直接適用することも、独自のポリシーを作成する開始点として使用することもできます。Amazon ECR 管理ポリシーの詳細については、「Amazon ECR 管理ポリシー」を参照してください。

AmazonECS_FullAccess

AmazonECS_FullAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、Amazon ECS リソースへの管理アクセスを許可し、IAM ID(ユーザー、グループ、ロールなど)にAWSサービスは、Amazon ECS のすべての機能を使用するために統合されています。このポリシーを使用すると、AWS Management Console で利用可能な Amazon ECS のすべての機能にアクセスできます。これらの機能は、。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AmazonECS_FullAccess」を参照してください。

AmazonECSInfrastructureRolePolicyForVolumes

AmazonECSInfrastructureRolePolicyForVolumes マネージドポリシーを IAM エンティティにアタッチできます。

ポリシーは、Amazon ECS がユーザーに変わって AWS API コールを行うのに必要なアクセス許可を付与します。このポリシーは、Amazon ECS のタスクとサービスを起動するときにボリューム設定で指定する IAM ロールにアタッチできます。このロールにより、Amazon ECS はタスクにアタッチされたボリュームを管理できます。詳細については、「Amazon ECS インフラストラクチャの IAM ロール」を参照してください。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AmazonECSInfrastructureRolePolicyForVolumes」を参照してください。

AmazonEC2ContainerServiceforEC2Role

AmazonEC2ContainerServiceforEC2Role ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、ユーザーに代わって AWS に呼び出すことを Amazon ECS コンテナインスタンスに許可する管理権限を付与します。詳細については、「Amazon ECS コンテナインスタンスの IAM ロール」を参照してください。

Amazon ECS は、Amazon EC2 インスタンスまたは外部インスタンスに対して、ユーザーに代わってアクションを実行することを Amazon ECS に許可するサービスロールにこのポリシーをアタッチします。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AmazonEC2ContainerServiceforEC2Role」を参照してください。

考慮事項

AmazonEC2ContainerServiceforEC2Role が管理する IAM ポリシーを使用するときは、次の推奨事項と考慮事項を検討する必要があります。

  • 最小権限を付与する標準のセキュリティアドバイスに従って、AmazonEC2ContainerServiceforEC2Role 管理ポリシーを変更して、特定のニーズに合わせることができます。管理ポリシーで付与されたアクセス許可のいずれかがユースケースに必要でない場合、カスタムポリシーを作成し、必要なアクセス許可のみを追加します。例えば、UpdateContainerInstancesState アクセス許可は、スポットインスタンスのドレインに提供されます。その権限がユースケースに必要ない場合、カスタムポリシーを使用して除外します。

  • コンテナインスタンスで実行しているコンテナは、インスタンスのメタデータを通じてコンテナインスタンスのロールに提供されているすべての権限にアクセスできます。コンテナインスタンスのロールのアクセス許可は、以下に提供されるマネージド型 AmazonEC2ContainerServiceforEC2Role ポリシーのアクセス許可のミニマリストに制限することをお勧めします。タスクのコンテナでリストされていない追加のアクセス許可が必要な場合は、独自の IAM ロールを使用してタスクを提供することをお勧めします。詳細については、「Amazon ECS タスクの IAM ロール」を参照してください。

    コンテナを防ぐには、docker0 ブリッジからコンテナインスタンスロールに指定されたアクセス許可にアクセスしないようにします。これは、次の iptables コマンドをコンテナインスタンスで実行することで Amazon ECS タスクの IAM ロール が提供するアクセス許可を許可して、コンテナは、有効なこのルールでインスタンスメタデータをクエリできません。このコマンドはデフォルトの Docker のブリッジ設定を前提としており、host ネットワークモードを使用してコンテナでは動作しません。詳細については、「ネットワークモード」を参照してください。

    sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP

    再起動後も有効にするには、コンテナインスタンスでこの iptables ルールを保存する必要があります。Amazon ECS 最適化 AMI の場合は、次のコマンドを使用します。他のオペレーティングシステムについては、その OS のドキュメントを参照してください。

    • Amazon ECS に最適化された Amazon Linux 2 AMI の場合:

      sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
    • Amazon ECS に最適化された Amazon Linux AMI の場合:

      sudo service iptables save

AmazonEC2ContainerServiceEventsRole

AmazonEC2ContainerServiceEventsRole ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、Amazon EventBridge(旧 CloudWatch Events)がユーザーに代わってタスクを実行できるようにするアクセス権限を付与します。このポリシーは、スケジュールされたタスクの作成時に指定された IAM ロールにアタッチできます。詳細については、「Amazon ECS EventBridge IAM ロール」を参照してください。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AmazonEC2ContainerServiceEventsRole」を参照してください。

AmazonECSTaskExecutionRolePolicy

AmazonECSTaskExecutionRolePolicy 管理 IAM ポリシーは、Amazon ECS コンテナエージェントおよび AWS Fargate コンテナエージェントに必要なアクセス権限を付与し、ユーザーに代わって AWS API コールを作成します。このポリシーは、タスク実行 IAM ロールに追加できます。詳細については、「Amazon ECS タスク実行IAM ロール」を参照してください。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AmazonECSTaskExecutionRolePolicy」を参照してください。

AmazonECSServiceRolePolicy

AmazonECSServiceRolePolicy マネージド IAM ポリシーにより、Amazon Elastic Container Service でクラスターを管理できるようになります。このポリシーは、タスク実行 IAM ロールに追加できます。詳細については、「Amazon ECS タスク実行IAM ロール」を参照してください。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AmazonECSServiceRolePolicy」を参照してください。

AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

IAM エンティティに AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity ポリシーをアタッチできます。このポリシーは、お客様に代わって Amazon ECS Service Connect TLS 機能を管理するために必要な AWS Private Certificate Authority、Secrets Manager、およびその他の AWS サービスへの管理アクセスを提供します。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity」を参照してください。

AWSApplicationAutoscalingECSServicePolicy

IAM エンティティに AWSApplicationAutoscalingECSServicePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって Application Auto Scaling がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Application Auto Scaling のサービスにリンクされたロール」を参照してください。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSApplicationAutoscalingECSServicePolicy」を参照してください。

AWSCodeDeployRoleForECS

IAM エンティティに AWSCodeDeployRoleForECS をアタッチすることはできません。このポリシーは、ユーザーに代わって CodeDeploy がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、AWS CodeDeploy ユーザーガイドの「CodeDeploy のサービスロールを作成する」を参照してください。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSCodeDeployRoleForECS」を参照してください。

AWSCodeDeployRoleForECSLimited

IAM エンティティに AWSCodeDeployRoleForECSLimited をアタッチすることはできません。このポリシーは、ユーザーに代わって CodeDeploy がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、AWS CodeDeploy ユーザーガイドの「CodeDeploy のサービスロールを作成する」を参照してください。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSCodeDeployRoleForECSLimited」を参照してください。

AmazonECSInfrastructureRolePolicyForVpcLattice

IAM エンティティに AmazonECSInfrastructureRolePolicyForVpcLattice ポリシーをアタッチできます。このポリシーは、ユーザーに代わって Amazon ECS ワークロードの VPC Lattice 機能を管理するために必要な他の AWS サービスリソースへのアクセスを提供します。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AmazonECSInfrastructureRolePolicyForVpcLattice」を参照してください。

ユーザーに代わって Amazon ECS ワークロードの VPC Lattice 機能を管理するために必要な他の AWS サービスリソースへのアクセスを提供します。

Amazon ECS での AWS 管理ポリシーに関する更新

Amazon ECS 向けの AWS 管理ポリシーについて、このサービスがこれらの変更の追跡を開始して以降行われた更新の詳細情報を示します。このページの変更に関する自動通知を入手するには、Amazon ECS ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。

変更 説明 日付

新しい AmazonECSInfrastructureRolePolicyForVpcLattice の追加

ユーザーに代わって Amazon ECS ワークロードの VPC Lattice 機能を管理するために必要な他の AWS サービスリソースへのアクセスを提供します。 2024 年 11 月 18 日

AmazonECSInfrastructureRolePolicyForVolumes へのアクセス許可を追加する

AmazonECSInfrastructureRolePolicyForVolumes ポリシーが更新され、お客様がスナップショットから Amazon EBS ボリュームを作成できるようになりました。 2024 年 10 月 10 日

アクセス許可を AmazonECS_FullAccess に追加しました。

AmazonECS_FullAccess ポリシーが更新され、ecsInfrastructureRole という名前のロールの IAM ロールの iam:PassRole アクセス許可が追加されました。これは、AWS Management Console によって作成されたデフォルトの IAM ロールで、Amazon ECS が ECS タスクにアタッチされた Amazon EBS ボリュームを管理できる ECS インフラストラクチャロールとして使用されることを目的としています。 2024 年 8 月 13 日

新しく、AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity ポリシーを追加しました。

新しく、AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity ポリシーを追加しました。これは AWS KMS、AWS Private Certificate Authority、Secrets Manager に管理アクセスを付与し、Amazon ECS Service Connect TLS 機能が正常に動作できるようにするものです。

2024 年 1 月 22 日

新しいポリシー AmazonECSInfrastructureRolePolicyForVolumes を追加しました。

AmazonECSInfrastructureRolePolicyForVolumes ポリシーが追加されました。このポリシーにより、Amazon ECS が AWS API コールを行い、Amazon ECS ワークロードに関連付けられた Amazon EBS ボリュームを管理するために必要な権限が付与されます。 2024 年 1 月 11 日

AmazonECSServiceRolePolicy にアクセス許可を追加する

AmazonECSServiceRolePolicy マネージド IAM ポリシーが更新され、新しい events アクセス許可および、追加権限 autoscalingautoscaling-plans が追加されました。 2023 年 12 月 4 日

許可を AmazonEC2ContainerServiceEventsRole に追加する

AmazonECSServiceRolePolicy マネージド IAM ポリシーが AWS Cloud Map DiscoverInstancesRevision API 操作へのアクセスを許可するように更新されました。 2023 年 10 月 4 日

許可を AmazonEC2ContainerServiceforEC2Role に追加する

AmazonEC2ContainerServiceforEC2Role ポリシーが変更され、新しく作成されたクラスターと登録されたコンテナインスタンスのみに許可を制限する条件を含む ecs:TagResource 許可が追加されました。 2023 年 3 月 6 日

AmazonECS_FullAccess へのアクセス許可を追加する

AmazonECS_FullAccess ポリシーが変更され、elasticloadbalancing:AddTags 権限が追加されました。これには、新しく作成されたロードバランサー、ターゲットグループ、ルール、および作成されたリスナーのみにアクセス許可を制限する条件が含まれています。この権限では、既に作成されている Elastic Load Balancing リソースにタグを追加することはできません。 2023 年 1 月 4 日

Amazon ECS が変更の追跡を開始しました。

Amazon ECS が AWS 管理ポリシーの変更の追跡を開始しました。

2021 年 6 月 8 日