# Amazon Elastic Container Service に関する AWS 管理ポリシー
<a name="security-iam-awsmanpol"></a>

ユーザー、グループ、ロールにアクセス許可を追加するには自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象範囲に含めており、AWS アカウントで利用できます。AWS マネージドポリシーの詳細については「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

AWS のサービスはAWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスはAWS マネージドポリシーから権限を削除しないため、ポリシーの更新によって既存の権限が破棄されることはありません。

さらに、AWS は複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、**ReadOnlyAccess** AWS マネージドポリシーではすべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。

Amazon ECS および Amazon ECR では、ユーザー、グループ、ロール、Amazon EC2 インスタンス、および Amazon ECS タスクにアタッチして、リソースや API オペレーションで異なる制御レベルを使用できる複数の管理ポリシーと信頼関係を提供しています。これらのポリシーを直接適用することも、独自のポリシーを作成する開始点として使用することもできます。Amazon ECR 管理ポリシーの詳細については、「[Amazon ECR 管理ポリシー](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr_managed_policies.html)」を参照してください。

## AmazonECS\$1FullAccess
<a name="security-iam-awsmanpol-AmazonECS_FullAccess"></a>

`AmazonECS_FullAccess` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、Amazon ECS リソースへの管理アクセスを許可し、IAM ID(ユーザー、グループ、ロールなど)にAWSサービスは、Amazon ECS のすべての機能を使用するために統合されています。このポリシーを使用すると、AWS マネジメントコンソール で利用可能な Amazon ECS のすべての機能にアクセスできます。これらの機能は、。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECS\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html)」を参照してください。

## AmazonECSInfrastructureRolePolicyForVolumes
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes"></a>

`AmazonECSInfrastructureRolePolicyForVolumes` マネージドポリシーを IAM エンティティにアタッチできます。

ポリシーは、Amazon ECS がユーザーに変わって AWS API コールを行うのに必要なアクセス許可を付与します。このポリシーは、Amazon ECS のタスクとサービスを起動するときにボリューム設定で指定する IAM ロールにアタッチできます。このロールにより、Amazon ECS はタスクにアタッチされたボリュームを管理できます。詳細については、「[Amazon ECS インフラストラクチャの IAM ロール](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/infrastructure_IAM_role.html)」を参照してください。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html)」を参照してください。

## AmazonEC2ContainerServiceforEC2Role
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role"></a>

`AmazonEC2ContainerServiceforEC2Role` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、ユーザーに代わって AWS に呼び出すことを Amazon ECS コンテナインスタンスに許可する管理権限を付与します。詳細については、「[Amazon ECS コンテナインスタンスの IAM ロール](instance_IAM_role.md)」を参照してください。

Amazon ECS は、Amazon EC2 インスタンスまたは外部インスタンスに対して、ユーザーに代わってアクションを実行することを Amazon ECS に許可するサービスロールにこのポリシーをアタッチします。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonEC2ContainerServiceforEC2Role](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceforEC2Role.html)」を参照してください。

### 考慮事項
<a name="instance-iam-role-considerations"></a>

`AmazonEC2ContainerServiceforEC2Role` が管理する IAM ポリシーを使用するときは、次の推奨事項と考慮事項を検討する必要があります。
+ 最小権限を付与する標準のセキュリティアドバイスに従って、`AmazonEC2ContainerServiceforEC2Role` 管理ポリシーを変更して、特定のニーズに合わせることができます。管理ポリシーで付与されたアクセス許可のいずれかがユースケースに必要でない場合、カスタムポリシーを作成し、必要なアクセス許可のみを追加します。例えば、`UpdateContainerInstancesState` アクセス許可は、スポットインスタンスのドレインに提供されます。その権限がユースケースに必要ない場合、カスタムポリシーを使用して除外します。
+ コンテナインスタンスで実行しているコンテナは、[インスタンスのメタデータ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html)を通じてコンテナインスタンスのロールに提供されているすべての権限にアクセスできます。コンテナインスタンスのロールのアクセス許可は、以下に提供されるマネージド型 `AmazonEC2ContainerServiceforEC2Role` ポリシーのアクセス許可のミニマリストに制限することをお勧めします。タスクのコンテナでリストされていない追加のアクセス許可が必要な場合は、独自の IAM ロールを使用してタスクを提供することをお勧めします。詳細については、「[Amazon ECS タスクの IAM ロール](task-iam-roles.md)」を参照してください。

  コンテナを防ぐには、`docker0` ブリッジからコンテナインスタンスロールに指定されたアクセス許可にアクセスしないようにします。これは、次の **iptables** コマンドをコンテナインスタンスで実行することで [Amazon ECS タスクの IAM ロール](task-iam-roles.md) が提供するアクセス許可を許可して、コンテナは、有効なこのルールでインスタンスメタデータをクエリできません。このコマンドはデフォルトの Docker のブリッジ設定を前提としており、`host` ネットワークモードを使用してコンテナでは動作しません。詳細については、「[ネットワークモード](task_definition_parameters.md#network_mode)」を参照してください。

  ```
  sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
  ```

  再起動後も有効にするには、コンテナインスタンスでこの **iptables** ルールを保存する必要があります。Amazon ECS 最適化 AMI の場合は、次のコマンドを使用します。他のオペレーティングシステムについては、その OS のドキュメントを参照してください。
  + Amazon ECS に最適化された Amazon Linux 2 AMI の場合:

    ```
    sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
    ```
  + Amazon ECS に最適化された Amazon Linux AMI の場合:

    ```
    sudo service iptables save
    ```

## AmazonEC2ContainerServiceEventsRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole"></a>

`AmazonEC2ContainerServiceEventsRole` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、Amazon EventBridge(旧 CloudWatch Events)がユーザーに代わってタスクを実行できるようにするアクセス権限を付与します。このポリシーは、スケジュールされたタスクの作成時に指定された IAM ロールにアタッチできます。詳細については、「[Amazon ECS EventBridge IAM ロール](CWE_IAM_role.md)」を参照してください。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonEC2ContainerServiceEventsRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceEventsRole.html)」を参照してください。

## AmazonECSTaskExecutionRolePolicy
<a name="security-iam-awsmanpol-AmazonECSTaskExecutionRolePolicy"></a>

`AmazonECSTaskExecutionRolePolicy` 管理 IAM ポリシーは、Amazon ECS コンテナエージェントおよび AWS Fargate コンテナエージェントに必要なアクセス権限を付与し、ユーザーに代わって AWS API コールを作成します。このポリシーは、タスク実行 IAM ロールに追加できます。詳細については、「[Amazon ECS タスク実行IAM ロール](task_execution_IAM_role.md)」を参照してください。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECSTaskExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSTaskExecutionRolePolicy.html)」を参照してください。

## AmazonECSServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonECSServiceRolePolicy"></a>

`AmazonECSServiceRolePolicy` マネージド IAM ポリシーにより、Amazon Elastic Container Service でクラスターを管理できるようになります。このポリシーは、[AWSServiceRoleForECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using-service-linked-roles-for-clusters.html#service-linked-role-permissions-clusters) サービスにリンクされたロールに追加できます。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSServiceRolePolicy.html)」を参照してください。

## `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity"></a>

IAM エンティティに `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` ポリシーをアタッチできます。このポリシーは、お客様に代わって Amazon ECS Service Connect TLS 機能を管理するために必要な AWS Private Certificate Authority、Secrets Manager、およびその他の AWS サービスへの管理アクセスを提供します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html)」を参照してください。

## `AWSApplicationAutoscalingECSServicePolicy`
<a name="security-iam-awsmanpol-AWSApplicationAutoscalingECSServicePolicy"></a>

IAM エンティティに `AWSApplicationAutoscalingECSServicePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Application Auto Scaling がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[Application Auto Scaling のサービスにリンクされたロール](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html)」を参照してください。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSApplicationAutoscalingECSServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingECSServicePolicy.html)」を参照してください。

## `AWSCodeDeployRoleForECS`
<a name="security-iam-awsmanpol-AWSCodeDeployRoleForECS"></a>

IAM エンティティに `AWSCodeDeployRoleForECS` をアタッチすることはできません。このポリシーは、ユーザーに代わって CodeDeploy がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、*AWS CodeDeploy ユーザーガイド*の「[CodeDeploy のサービスロールを作成する](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html)」を参照してください。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSCodeDeployRoleForECS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECS.html)」を参照してください。

## `AWSCodeDeployRoleForECSLimited`
<a name="security-iam-awsmanpol-AWSCodeDeployRoleForECSLimited"></a>

IAM エンティティに `AWSCodeDeployRoleForECSLimited` をアタッチすることはできません。このポリシーは、ユーザーに代わって CodeDeploy がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、*AWS CodeDeploy ユーザーガイド*の「[CodeDeploy のサービスロールを作成する](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html)」を参照してください。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSCodeDeployRoleForECSLimited](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECSLimited.html)」を参照してください。

## `AmazonECSInfrastructureRolePolicyForLoadBalancers`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers"></a>

IAM エンティティに `AmazonECSInfrastructureRolePolicyForLoadBalancers` ポリシーをアタッチできます。このポリシーは、Amazon ECS がユーザーに代わって Elastic Load Balancing リソースを管理できるようにするアクセス許可を付与します。このポリシーには以下が含まれます。
+ リスナー、ルール、ターゲットグループ、ターゲットヘルスを記述するための読み取り専用アクセス許可
+ ターゲットグループでターゲットを登録および登録解除するためのアクセス許可
+ Application Load Balancer と Network Load Balancer のリスナーを変更するためのアクセス許可
+ Application Load Balancer のルールを変更するためのアクセス許可

これらのアクセス許可により、Amazon ECS はサービスの作成時または更新時にロードバランサーの設定を自動的に管理できるようになり、コンテナへのトラフィックの適切なルーティングが確保されます。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForLoadBalancers.html)」を参照してください。

## `AmazonECSInfrastructureRolePolicyForManagedInstances`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances"></a>

IAM エンティティに `AmazonECSInfrastructureRolePolicyForManagedInstances` ポリシーをアタッチできます。このポリシーは、ユーザーに代わって ECS マネージドインスタンスの Amazon EC2 リソースを作成および更新するために Amazon ECS が必要とするアクセス許可を付与します。このポリシーには以下が含まれます。
+ マネージドインスタンスの Amazon EC2 起動テンプレートを作成および管理するアクセス許可
+ CreateFleet と RunInstances を使用して Amazon EC2 インスタンスをプロビジョニングするアクセス許可
+ ECS が作成する Amazon EC2 リソースでタグを作成および管理するためのアクセス許可
+ マネージドインスタンスの Amazon EC2 インスタンスに IAM ロールを渡すアクセス許可
+ Amazon EC2 スポットインスタンス用のサービスにリンクされたロールを作成するアクセス許可
+ インスタンス、インスタンスタイプ、起動テンプレート、ネットワークインターフェイス、アベイラビリティーゾーン、セキュリティグループ、サブネット、VPC、EC2 イメージ、およびキャパシティ予約を含めた Amazon EC2 リソースを記述するための読み取り専用許可
+ Amazon ResourceGroups リソースを一覧表示するための読み取り専用許可 (タグ付けされたリソースを取得し、Amazon CloudFormation スタックリソースを一覧表示するための基礎的な許可が必要です)

これらのアクセス許可により、Amazon ECS は ECS マネージドインスタンスの Amazon EC2 インスタンスを自動的にプロビジョニングおよび管理し、基盤となるコンピューティングリソースの適切な設定とライフサイクル管理を確保できます。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECSInfrastructureRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html)」を参照してください。

## `AmazonECSInfrastructureRolePolicyForVpcLattice`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice"></a>

IAM エンティティに `AmazonECSInfrastructureRolePolicyForVpcLattice` ポリシーをアタッチできます。このポリシーは、ユーザーに代わって Amazon ECS ワークロードの VPC Lattice 機能を管理するために必要な他の AWS サービスリソースへのアクセスを提供します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html)」を参照してください。

ユーザーに代わって Amazon ECS ワークロードの VPC Lattice 機能を管理するために必要な他の AWS サービスリソースへのアクセスを提供します。

## `AmazonECSInfrastructureRoleforExpressGatewayServices`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices"></a>

IAM エンティティに `AmazonECSInfrastructureRoleforExpressGatewayServices` ポリシーをアタッチできます。このポリシーは、Amazon ECS がユーザーに代わって Express サービスを使用してウェブアプリケーションを作成および更新するために必要なアクセス許可を付与します。このポリシーには以下が含まれます。
+ Amazon ECS Application Auto Scaling のサービスにリンクされたロールを作成するアクセス許可
+ これには Application Load Blancer、リスナー、ルール、ターゲットグループの作成、更新、削除のアクセス許可が含まれます。
+ ECS マネージドリソースの VPC セキュリティグループを作成、変更、削除するアクセス許可
+ ACM 経由で SSL/TLS 証明書のリクエスト、管理、削除を実行するアクセス許可
+ Amazon ECS サービスの Application Auto Scaling ポリシーとターゲットを設定するアクセス許可
+ 自動スケーリングトリガー用 CloudWatch アラームを作成および管理するためのアクセス許可
+ ロードバランサー、VPC リソース、証明書、自動スケーリング設定、CloudWatch アラームを記述するための読み取り専用アクセス許可

これらのアクセス許可により、Amazon ECS は Express サービスウェブアプリケーションに必要なインフラストラクチャコンポーネント (ロードバランシング、セキュリティグループ、SSL 証明書、自動スケーリング設定など) のプロビジョニングおよび管理を自動的に実行できます。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECSInfrastructureRoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html)」を参照してください。

## `AmazonECSComputeServiceRolePolicy`
<a name="security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy"></a>

AmazonECSComputeServiceRole サービスにリンクされたロールが `AmazonECSComputeServiceRolePolicy` ポリシーにアタッチされます。詳細については、「[ロールを使用して Amazon ECS マネージドインスタンスを管理する](using-service-linked-roles-instances.md)」を参照してください。

このポリシーには Amazon ECS に次のタスクを完了させるための権限が含まれています。
+ Amazon ECS が起動テンプレートを記述および削除する。
+  Amazon ECS が起動テンプレートのバージョンを記述および削除する。
+ Amazon ECS がインスタンスを終了する。
+ Amazon ECS では、次のインスタンスデータパラメータを記述できます。
  + インスタンス
  + インスタンスネットワークインターフェイス: Amazon ECS は、EC2 インスタンスのライフサイクルを管理するインターフェイスを記述できます。
  + インスタンスイベントウィンドウ: Amazon ECS は、インスタンスのパッチ適用を目的としたワークフロー中断の可否を決定するためのイベントウィンドウ情報を記述できます。
  + インスタンスステータス: Amazon ECS は、インスタンスの状態をモニタリングするためにインスタンスステータスを記述できます。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECSComputeServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSComputeServiceRolePolicy.html)」を参照してください。

## `AmazonECSInstanceRolePolicyForManagedInstances`
<a name="security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances"></a>

この `AmazonECSInstanceRolePolicyForManagedInstances` ポリシーは、Amazon ECS マネージドインスタンスを Amazon ECS クラスターに登録し、Amazon ECS サービスと通信するためのアクセス許可を提供します。

このポリシーには Amazon ECS マネージドインスタンスに次のタスクを完了させるための権限が含まれます。
+ Amazon ECS クラスターの登録および登録解除を実行する。
+ コンテナインスタンスの状態の変更を送信する。
+ タスクの状態の変更を送信する。
+ Amazon ECS エージェントのポーリングエンドポイントを検出する。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonECSInstanceRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInstanceRolePolicyForManagedInstances.html)」を参照してください。

## Amazon ECS での AWS 管理ポリシーに関する更新
<a name="security-iam-awsmanpol-updates"></a>

Amazon ECS 向けの AWS 管理ポリシーについて、このサービスがこれらの変更の追跡を開始して以降行われた更新の詳細情報を示します。このページの変更に関する自動通知を入手するには、Amazon ECS ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。

 


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|   `AmazonECSInfrastructureRolePolicyForManagedInstances` ポリシーを更新   |  Amazon ECS マネージドインスタンスでキャパシティ予約をサポートするため、以下の許可で `AmazonECSInfrastructureRolePolicyForManagedInstances` ポリシーが更新されました。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security-iam-awsmanpol.html)  | 2026 年 2 月 24 日 | 
|  [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) に許可を追加  | AmazonECSServiceRolePolicy マネージド IAM ポリシーが更新され、ssmmessages:OpenDataChannel アクセス許可が含まれるようになりました。この許可は、Amazon ECS が ECS Exec セッションのデータチャネルを開くことを可能にします。 | 2026 年 1 月 20 日 | 
|   `AmazonECSInfrastructureRolePolicyForManagedInstances` ポリシーを更新する   |  `AmazonECSInfrastructureRolePolicyForManagedInstances` ポリシーが更新され、`CreateFleet` 許可が変更されました。以下の理由により、サブネット、セキュリティグループ、EC2 イメージに対するリソースベースの条件が削除されました。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security-iam-awsmanpol.html) この変更によって、期待される ECS 管理タグがないリソースでもポリシーが正しく機能するようになります。  | 2025 年 12 月 15 日 | 
|  [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) にアクセス許可を追加します。  | AmazonECSServiceRolePolicy マネージド IAM ポリシーを更新し、新しい Amazon EC2 アクセス許可を追加しました。このアクセス許可で、Amazon ECS はイベントウィンドウに関連付けられたサービスおよびクラスターの Amazon EC2 イベントウィンドウを取得できます。 | 2025 年 11 月 20 日 | 
|  [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) にアクセス許可を追加します。  | AmazonECSServiceRolePolicy マネージド IAM ポリシーを更新し、新しい Amazon EC2 アクセス許可を追加しました。このアクセス許可で、Amazon ECS はタスク ENI のプロビジョニングおよびプロビジョニング解除を実行できます。 | 2025 年 11 月 14 日 | 
|  [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity) ポリシーを更新   | AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity マネージド IAM ポリシーを更新し、secretsmanager:DescribeSecret アクセス許可を独自のポリシーステートメントとして分離しました。このアクセス許可は、引き続き Amazon ECS で作成したシークレットにのみ Amazon ECS アクセスの範囲を設定します。また、範囲設定にはリソースタグの代わりに ARN パターンマッチングを使用します。これにより、Amazon ECS は、シークレットが削除された場合などを含めて、ライフサイクル全体でシークレットの状態をモニタリングできます。 | 2025 年 11 月 13 日 | 
|  新しい [`AmazonECSInfrastructureRoleforExpressGatewayServices`](#security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices) の追加  | Express サービスを使用してウェブアプリケーションを作成および管理するための Amazon ECS アクセス許可を提供する、新しい AmazonECSInfrastructureRoleforExpressGatewayServices ポリシーを追加しました。 | 2025 年 11 月 21 日 | 
|  新しい [`AmazonECSInstanceRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances) の追加  | Amazon ECS マネージドインスタンスから Amazon ECS クラスターに登録するためのアクセス許可を提供する、新しい AmazonECSInstanceRolePolicyForManagedInstances ポリシーを追加しました。 | 2025 年 9 月 30 日 | 
|  新しい [`AmazonECSInfrastructureRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances) の追加  | Amazon EC2 マネージドリソースを作成および管理するための Amazon ECS アクセスを提供する新しい AmazonECSInfrastructureRolePolicyForManagedInstances ポリシーを追加しました。 | 2025 年 9 月 30 日 | 
|  新しい [AmazonECSComputeServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy) を追加  | Amazon ECS が Amazon ECS マネージドインスタンスと関連リソースを管理できるようにします。 | 2025 年 8 月 31 日 | 
|  [AmazonEC2ContainerServiceforEC2Role](#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role) へのアクセス許可を追加する   | AmazonEC2ContainerServiceforEC2Role マネージド IAM ポリシーが更新され、ecs:ListTagsForResource アクセス許可が含まれるようになりました。このアクセス許可により、Amazon ECS エージェントはタスクメタデータエンドポイント (\$1\$1ECS\$1CONTAINER\$1METADATA\$1URI\$1V4\$1/taskWithTags) を介してタスクおよびコンテナインスタンスのタグを取得できます。 | 2025 年 8 月 4 日 | 
|  [AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers) にアクセス許可を追加します。  | AmazonECSInfrastructureRolePolicyForLoadBalancers マネージド IAM ポリシーが更新され、ターゲットグループを記述、登録解除、登録するための新しいアクセス許可が追加されました。 | 2025 年 7 月 25 日 | 
|  新しい [`AmazonECSInfrastructureRolePolicyForLoadBalancers`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers) ポリシーを追加する  |  Amazon ECS ワークロードに関連づけられているロードバランサーの管理に必要な他の AWS サービスリソースへのアクセスを提供する新しい AmazonECSInfrastructureRolePolicyForLoadBalancers ポリシーを追加しました。  | 2025 年 7 月 15 日 | 
|  [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) にアクセス許可を追加します。  | AmazonECSServiceRolePolicy マネージド IAM ポリシーは、Amazon ECS が管理するサービスの AWS Cloud Map サービス属性を Amazon ECS が更新できる新しい AWS Cloud Map アクセス許可で更新されました。 | 2025 年 7 月 15 日 | 
|  [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) にアクセス許可を追加する  | AmazonECSServiceRolePolicy マネージド IAM ポリシーは、Amazon ECS が管理するサービスの AWS Cloud Map サービス属性を Amazon ECS が更新できる新しい AWS Cloud Map アクセス許可で更新されました。 | 2025 年 6 月 24 日 | 
|  [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes) へのアクセス許可を追加する  | AmazonECSInfrastructureRolePolicyForVolumes ポリシーが更新され、ec2:DescribeInstances のアクセス許可が追加されました。アクセス許可は、同じコンテナインスタンスで実行される Amazon ECS タスクにアタッチされている Amazon EBS ボリュームのデバイス名のコリジョンを防ぐのに役立ちます。 | 2025 年 6 月 2 日 | 
|  新しい [AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice) の追加  | ユーザーに代わって Amazon ECS ワークロードの VPC Lattice 機能を管理するために必要な他の AWS サービスリソースへのアクセスを提供します。 | 2024 年 11 月 18 日 | 
|  [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes) へのアクセス許可を追加する  | AmazonECSInfrastructureRolePolicyForVolumes ポリシーが更新され、お客様がスナップショットから Amazon EBS ボリュームを作成できるようになりました。 | 2024 年 10 月 10 日 | 
|  アクセス許可を [AmazonECS\$1FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess) に追加しました。  |  AmazonECS\$1FullAccess ポリシーが更新され、ecsInfrastructureRole という名前のロールの IAM ロールの iam:PassRole アクセス許可が追加されました。これは、AWS マネジメントコンソール によって作成されたデフォルトの IAM ロールで、Amazon ECS が ECS タスクにアタッチされた Amazon EBS ボリュームを管理できる ECS インフラストラクチャロールとして使用されることを目的としています。 | 2024 年 8 月 13 日 | 
|  新しく、[AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity) ポリシーを追加しました。  |  新しく、AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity ポリシーを追加しました。これは AWS KMS、AWS Private Certificate Authority、Secrets Manager に管理アクセスを付与し、Amazon ECS Service Connect TLS 機能が正常に動作できるようにするものです。  | 2024 年 1 月 22 日 | 
|  新しいポリシー [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes) を追加しました。  | AmazonECSInfrastructureRolePolicyForVolumes ポリシーが追加されました。このポリシーにより、Amazon ECS が AWS API コールを行い、Amazon ECS ワークロードに関連付けられた Amazon EBS ボリュームを管理するために必要な権限が付与されます。 | 2024 年 1 月 11 日 | 
|  [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) にアクセス許可を追加する  | AmazonECSServiceRolePolicy マネージド IAM ポリシーが更新され、新しい events アクセス許可および、追加権限 autoscaling、autoscaling-plans が追加されました。 | 2023 年 12 月 4 日 | 
|  許可を [AmazonEC2ContainerServiceEventsRole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole) に追加する  | AmazonECSServiceRolePolicy マネージド IAM ポリシーが AWS Cloud Map DiscoverInstancesRevision API 操作へのアクセスを許可するように更新されました。 | 2023 年 10 月 4 日 | 
|  許可を [AmazonEC2ContainerServiceforEC2Role](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role) に追加する  | AmazonEC2ContainerServiceforEC2Role ポリシーが変更され、新しく作成されたクラスターと登録されたコンテナインスタンスのみに許可を制限する条件を含む ecs:TagResource 許可が追加されました。 | 2023 年 3 月 6 日 | 
|  [AmazonECS\$1FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess) へのアクセス許可を追加する  | AmazonECS\$1FullAccess ポリシーが変更され、elasticloadbalancing:AddTags 権限が追加されました。これには、新しく作成されたロードバランサー、ターゲットグループ、ルール、および作成されたリスナーのみにアクセス許可を制限する条件が含まれています。この権限では、既に作成されている Elastic Load Balancing リソースにタグを追加することはできません。 | 2023 年 1 月 4 日 | 
|  Amazon ECS が変更の追跡を開始しました。  |  Amazon ECS が AWS 管理ポリシーの変更の追跡を開始しました。  | 2021 年 6 月 8 日 | 

# AWS Amazon Elastic Container Service の マネージド IAM ポリシーを段階的に廃止します。
<a name="security-iam-awsmanpol-deprecated-policies"></a>

以下の AWS 管理 IAM ポリシーは段階的に廃止されます。これらのポリシーは、更新されたポリシーに置き換えられます。ユーザーまたはロールを更新して、更新されたポリシーを使用することをお勧めします。

## AmazonEC2ContainerServiceFullAccess
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceFullAccess"></a>

**重要**  
`AmazonEC2ContainerServiceFullAccess` 管理 IAM ポリシーは、2021 年 1 月 29 日に段階的に廃止されました。これは、`iam:passRole` 許可で発見されたセキュリティへの対応です。このアクセス許可は、アカウント内のロールへの認証情報を含むすべてのリソースへのアクセスを許可します。ポリシーが廃止されると、新しいユーザーまたはロールにポリシーをアタッチできなくなります。ポリシーがアタッチされているユーザーまたはロールは、そのポリシーを引き続き使用できます。ただし、ユーザーまたはロールを更新して、`AmazonECS_FullAccess` 管理ポリシーを代わりに使用することをお勧めします 詳細については、「[`AmazonECS_FullAccess` 管理ポリシーへの移行](security-iam-awsmanpol-amazonecs-full-access-migration.md)」を参照してください。

## AmazonEC2ContainerServiceRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceRole"></a>

**重要**  
`AmazonEC2ContainerServiceRole` マネージド IAM ポリシーは段階的に廃止されます。これで Amazon ECS サービスリンクロールに置き換えられます。詳細については、「[Amazon ECS のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。

## AmazonEC2ContainerServiceAutoscaleRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceAutoscaleRole"></a>

**重要**  
`AmazonEC2ContainerServiceAutoscaleRole` マネージド IAM ポリシーは段階的に廃止されます。これは、Amazon ECS の Application Auto Scaling サービスリンクロールに置き換えられました。詳細については、「Application Auto Scaling ユーザーガイド」の「[Application Auto Scaling 用のサービスリンクロール](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html)」を参照してください。

# `AmazonECS_FullAccess` 管理ポリシーへの移行
<a name="security-iam-awsmanpol-amazonecs-full-access-migration"></a>

`AmazonEC2ContainerServiceFullAccess` 管理 IAM ポリシーは、2021 年 1 月 29 日に段階的に廃止されました。これは、`iam:passRole` アクセス許可で発見されたセキュリティへの対応です。このアクセス許可は、アカウント内のロールへの認証情報を含むすべてのリソースへのアクセスを許可します。ポリシーが廃止されると、新しいグループ、ユーザー、またはロールにポリシーをアタッチできなくなります。すでにポリシーがアタッチされているグループ、ユーザー、またはロールは、引き続きそのポリシーを使用できます。ただし、グループ、ユーザー、またはロールを更新して、`AmazonECS_FullAccess` が管理するポリシーを代わりに使用することをお勧めします。

`AmazonECS_FullAccess` によって付与される許可には、ECS を管理者として使用するために必要なアクセス許可の完全なリストが含まれます。`AmazonECS_FullAccess` ポリシーにはない `AmazonEC2ContainerServiceFullAccess` ポリシーによって付与されているアクセス許可を現在使用している場合、それらをインラインポリシーステートメントに追加できます。詳細については、「[Amazon Elastic Container Service に関する AWS 管理ポリシー](security-iam-awsmanpol.md)」を参照してください。

現在 `AmazonEC2ContainerServiceFullAccess` 管理 IAM ポリシーを使用しているグループ、ユーザー、またはロールがあるかを判断するには、次のステップを使用します。次に、これらのポリシーを更新して以前のポリシーをデタッチし、`AmazonECS_FullAccess` ポリシーをアタッチします。

**AmazonECS\$1FullAccess ポリシーを使用するようにグループ、ユーザー、またはロールを更新するには (AWS マネジメントコンソール)**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで [**Policies**] を選択し、`AmazonEC2ContainerServiceFullAccess` ポリシーを検索して選択します。

1. [**Policy usage (ポリシーの使用)**] タブを選択すると、現在このポリシーを使用している IAM ロールが表示されます。

1. 現在 `AmazonEC2ContainerServiceFullAccess` ポリシーを使用している IAM ロールごとに、ロールを選択し、次の手順を使用して段階的廃止されるポリシーをデタッチし、`AmazonECS_FullAccess` ポリシーをアタッチします。

   1. **[Permissions]** (許可) タブで、**AmazonEC2ContainerServiceFullAccess** ポリシーの横にある **X** を選択します。

   1. [**Add permissions (許可の追加)**] を選択します。

   1. [**Attach existing policies directly**] を選択し、**AmazonECS\$1FullAccess** ポリシーを検索してクリックして、[**Next: Review**] を選択します。

   1. 変更を確認し、[**Add permissions**] を選択します。

   1. `AmazonEC2ContainerServiceFullAccess` ポリシーを使用しているグループ、ユーザー、またはロールごとに、これらの手順を繰り返します。

**`AmazonECS_FullAccess` ポリシーを使用するようにグループ、ユーザー、またはロールを更新するには (AWS CLI)**

1. [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html) コマンドを使用して、段階的に廃止されたポリシーが最後に使用された日時に関する詳細を含むレポートを生成します。

   ```
   aws iam generate-service-last-accessed-details \
        --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess
   ```

   出力例:

   ```
   {
       "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
   }
   ```

1. [https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html) コマンドを使用して、前回の出力のジョブ ID を指定すると、サービスの最終アクセスレポートを取得できます。このレポートには、段階的に廃止されたポリシーを最後に使用した IAM エンティティの Amazon リソースネーム (ARN) が表示されます。

   ```
   aws iam get-service-last-accessed-details \
         --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
   ```

1. グループ、ユーザー、またはロールから `AmazonEC2ContainerServiceFullAccess` ポリシーをデタッチするには、次のコマンドのいずれかを使用します。
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)

1. `AmazonECS_FullAccess` ポリシーをグループ、ユーザー、またはロールにアタッチするには、次のコマンドのいずれかを使用します。
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)