Amazon ECS API アクションでサポートされるリソースレベルのアクセス許可 - Amazon ECS

Amazon ECS API アクションでサポートされるリソースレベルのアクセス許可

リソースレベルのアクセス許可」という用語は、ユーザーがアクションを実行可能なリソースを指定できることを示します。Amazon ECS では、リソースレベルのアクセス許可が部分的にサポートされています。これは、特定の Amazon ECS アクションでは、満たす必要がある条件、またはユーザーが使用できる特定のリソースに基づいて、ユーザーがそれらのアクションをいつ使用できるかを制御できることを意味します。たとえば、特定の AMI のみを使用して、特定のタイプのインスタンスだけを起動するアクセス許可をユーザーに付与できます。

Amazon ECS アクションによって作成または変更されるリソースの詳細と、IAM ポリシーステートメントで使用できる ARN および Amazon ECS 条件キーの詳細については、IAM ユーザーガイド の「Amazon Elastic Container Service のアクション、リソース、および条件キー」を参照してください。

リソースレベルのアクセス許可に関する考慮事項

IAM ポリシーでリソースの Amazon リソースネーム (ARN) を指定して Amazon ECS API アクションへのアクセスを制御する場合、ECS がコンテナインスタンス、サービスおよびタスクの ARN 形式に影響するアカウント設定を導入していることに留意してください。リソースレベルのアクセス許可を使用するには、新しい、より長い ARN 形式をオプトインすることをお勧めします。詳細については、「Amazon リソースネーム (ARN) と ID」を参照してください。

IAM ポリシーが評価されると、指定されたリソースは、新しいより長い ARN 形式の使用に基づいて評価されます。以下は、アクセスの制御方法の例です。

ワイルドカードのみを使用したクラスターでのサービスの指定

例: arn:aws:ecs:region:aws_account_id:service/cluster_name*

この例では、次のサービスへのアクセスが制御されます。

  • cluster_name* クラスターにある新しい ARN 形式を使用するすべてのサービス。

  • cluster_name* クラスターにある古い ARN 形式を使用するすべてのサービス。

重要

これは、cluster_name* クラスターにはない cluster_name プレフィックスを使用したサービス名を持つ、古い ARN 形式を使用するサービスへのアクセスを制御しません

ワイルドカードを使用してクラスターおよびサービス名の両方でサービスを指定する

例: arn:aws:ecs:region:aws_account_id:service/cluster_name/service_name*

この例では、次のサービスへのアクセスが制御されます。

  • service_name プレフィックスを使用した cluster_name クラスターにある新しい ARN 形式を使用するすべてのサービス。

  • サービスの実際の ARN が arn:aws:ecs:region:aws_account_id:service/service_name* ARN 形式のままであっても、service_name プレフィックスを使用した cluster_name クラスターにある古い ARN 形式を使用するすべてのサービス。

完全な ARN を使用したサービスの指定

例: arn:aws:ecs:region:aws_account_id:service/cluster_name/service_name

この例では、次のサービスへのアクセスが制御されます。

  • service_name サービス名を使用した cluster_name クラスターにある新しい ARN 形式を使用するすべてのサービス。

  • サービスの実際の ARN が arn:aws:ecs:region:aws_account_id:service/service_name ARN 形式のままであっても、service_name プレフィックスを使用した cluster_name クラスターにある古い ARN 形式を使用するすべてのサービス。