方法 Amazon Elastic Container Service 以下と連動 IAM - Amazon ECS

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

方法 Amazon Elastic Container Service 以下と連動 IAM

使用する前に IAM 管理するための Amazon ECS何を IAM 機能は、 Amazon ECS. の大まかなビューを表示するには どのように Amazon ECS およびその他 AWS サービスはIAMと連携する。参照 AWS サービス 連携する IAMIAM ユーザーガイド.

Amazon ECS IDベースのポリシー

あり IAM 許可または拒否されたアクションを指定できます。 リソース、およびアクションが許可または拒否される条件。 Amazon ECS は、特定のアクション、リソース、条件キーをサポートします。学ぶため JSON ポリシーで使用するすべての要素については、以下を参照してください。 IAM JSON ポリシー要素 参照IAM ユーザーガイド.

Actions

IAM アイデンティティベースのポリシーの Action エレメントは、そのポリシーにより許可または拒否される特定のアクションについて説明します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

ポリシー アクション Amazon ECS アクションの前に次のプレフィックスを使用します。ecs:。 たとえば、誰かに許可を与えるには、 作成するために Amazon ECS クラスタと Amazon ECS CreateCluster API 操作、 ecs:CreateCluster アクションを ポリシー。ポリシーステートメントには、 Action または NotAction 要素。 Amazon ECS 独自のセットを定義する このサービスで実行できるタスクを説明するアクション。

1つのステートメントで複数のアクションを指定するには、カンマで区切ります 以下に従う:

"Action": [ "ecs:action1", "ecs:action2"

ワイルドカード(*)を使用して、複数のアクションを指定できます。たとえば、 単語で始まるすべてのアクション Describe、 次のアクション:

"Action": "ecs:Describe*"

のリストを表示するには Amazon ECS アクション、を参照 行動、 リソースと条件キー Amazon Elastic Container ServiceIAM ユーザーガイド

Resources

Resource エレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ARN を使用して、またはステートメントがすべてのリソースに適用されることを示すワイルドカード (*) を使用して、リソースを指定します。

は Amazon ECS クラスタ リソースには、次のARNがあります。

arn:${Partition}:ecs:${Region}:${Account}:cluster/${clusterName}

ARNの形式の詳細については、以下を参照してください。 Amazonリソース名(ARN)および AWS サービスネームスペース.

たとえば、 my-cluster クラスターを 次のARNを使用します。

"Resource": "arn:aws:ecs:us-east-1:123456789012:cluster/my-cluster"

特定のアカウントに属するすべてのクラスタを指定するには、ワイルドカードを使用します。 (*):

"Resource": "arn:aws:ecs:us-east-1:123456789012:cluster/*"

一部 Amazon ECS リソース作成のためのアクションなどは、 特定のリソースに対して実行されます。このような場合は、ワイルドカードを使用する必要があります。 (*)。

"Resource": "*"

一部 Amazon ECS API アクションは複数のリソースで実行できます。例えば、 を呼び出したときに、複数のクラスタを参照できます。 DescribeClusters API アクション。1 つの 単一のステートメントで、ARNをコンマで区切ります。

"Resource": [ "resource1", "resource2"

次の表に、 Amazon ECS API アクション。

重要

次の表では、 Amazon ECS タスク、 サービス、コンテナインスタンス。長いARNにオプトインしていない場合 ARN にはクラスタ名は含まれません。詳細については、 参照 Amazonリソース名(ARN)とID.

リソースタイプ

アーン

すべて Amazon ECS リソース

arn:aws:ecs:*

すべて Amazon ECS リソースは、 指定地域

arn:aws:ecs:地域:アカウント:*

クラスタ

arn:aws:ecs:地域:アカウント:クラスタ/クラスタ名

コンテナインスタンス

arn:aws:ecs:地域:アカウント:コンテナインスタンス/クラスタ名/コンテナ-インスタンス-ID

タスク定義

arn:aws:ecs:地域:アカウント:タスク定義/タスク-定義-ファミリー-名前:タスク-定義-改訂-番号

サービス

arn:aws:ecs:地域:アカウント:サービス/クラスタ名/サービス名

タスク

arn:aws:ecs:地域:アカウント:タスク/クラスタ名/タスクID

コンテナ

arn:aws:ecs:地域:アカウント:コンテナ/コンテナ ID

各リソースのARNを指定できるアクションについては、以下を参照してください。 Amazon ECS API アクションでサポートされるリソースレベルのアクセス許可.

条件キー

Condition エレメント (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Conditionエレメントはオプションです。イコールや以下などの条件演算子を使用する条件式を作成して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、AWS が論理 AND 演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS が論理 OR 演算を使用して条件を評価します。ステートメントのアクセス許可が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。たとえば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、IAM ユーザーガイド の「IAM ポリシーエレメント: 変数およびタグ」を参照してください。

Amazon ECS 独自のセットを定義する グローバル条件キーの使用もサポートします。すべてを表示するには AWS グローバル条件キー、参照 AWS グローバル 条件コンテキスト キーIAM ユーザーガイド.

Amazon ECS 次のサービス固有の条件キーを実装します。

条件キー

説明

評価タイプ

aws:RequestTag/${TagKey}

コンテキストキーはフォーマットされています "aws:RequestTag/tag-key":"tag-value" ここで tag-keyおよび tag-value タグキーで、 値ペア。

タグのキーと値のペアが AWS リクエスト。たとえば、 リクエストにタグキーを含める "Dept" そして は、 "Accounting".

文字列

aws:リソースタグ/${TagKey}

コンテキストキーはフォーマットされています "aws:ResourceTag/tag-key":"tag-value" ここで tag-keyおよび tag-value タグキーで、 値ペア。

ID リソースにタグがアタッチされていることを確認します。 (ユーザーまたは役割)が指定されたキー名と一致し、 値。

文字列

aws:タグキー

このコンテキストキーはフォーマットされています "aws:TagKeys":"tag-key" ここで tag-key はタグのリストです 値のないキー(例: ["Dept","Cost-Center"])。

AWS に存在するタグキーをチェックします。 リクエスト。

文字列

ecs:リソースタグ/${TagKey}

コンテキストキーはフォーマットされています "ecs:ResourceTag/tag-key":"tag-value" ここで tag-keyおよび tag-value タグキーで、 値ペア。

ID リソースにタグがアタッチされていることを確認します。 (ユーザーまたは役割)が指定されたキー名と一致し、 値。

文字列

ecs:クラスタ[ecs:くらすた]

コンテキストキーはフォーマットされています "ecs:cluster":"cluster-arn" ここで cluster-arn はARNです の Amazon ECS クラスタ。

ARN、Null

ecs:コンテナインスタンス

コンテキストキーはフォーマットされています "ecs:container-instances":"container-instance-arns" ここで container-instance-arns はです 1つ以上のコンテナインスタンスARN。

ARN、Null

ecs:タスク定義

コンテキストキーはフォーマットされています "ecs:task-definition":"task-definition-arn" ここで task-definition-arn は ARN( Amazon ECS タスク定義。

ARN、Null

ecs:サービス

コンテキストキーはフォーマットされています "ecs:service":"service-arn" ここで service-arn はARNです の Amazon ECS サービス。

ARN、Null

条件キーを使用できるアクションとリソースについては、以下を参照してください。 Amazon ECS API アクションでサポートされるリソースレベルのアクセス許可.

Examples

の例を表示するには Amazon ECS IDベースのポリシーについては、を参照してください。 Amazon Elastic Container Service アイデンティティベースのポリシーの例.

Amazon ECS リソースベースのポリシー

Amazon ECS はリソースベースのポリシーをサポートしていません。

以下に基づく承認 Amazon ECS タグ

タグは次に添付できます: Amazon ECS 要求のリソースまたはパス タグ Amazon ECS. タグに基づいてアクセスを制御するには、 の 条件 要素 使用ポリシーの aws:RequestTag/key-name または aws:TagKeys 条件キー。詳細については、以下を参照してください。 タグを使用したアクセスの制御 () の IAM ユーザーガイド.

タグ付けの詳細については、 Amazon ECS リソース、参照 リソースとタグ.

リソース ベースのアクセスを制限するためのIDベースのポリシーの例を表示するには そのリソース上のタグに 説明 Amazon ECS タグに基づくサービス.

Amazon ECS IAM 役割

A IAM 役割 は、 あなたの AWS 固有の権限を持つアカウント。

一時の使用 の資格情報 Amazon ECS

一時的な資格情報を使用してフェデレーションでサインインできます。 IAM 役割、またはクロスアカウントの役割を引き受けます。一時的なセキュリティを得る に電話して認証情報を AWS STS API操作(例: 役割を引き受ける または GetFederationToken(フェデレーショントークンを取得).

Amazon ECS は、一時資格情報の使用をサポートしています。

サービス連携ロール

サービス連携ロール 許可 AWS のリソースにアクセスするサービス お客様に代わってアクションを完了するためのその他のサービス。サービスリンクされた役割が表示されます で IAM 管理され、サービスによって所有されます。A IAM 管理者は、 サービスリンクされた役割の権限は表示しますが、編集しません。

Amazon ECS は、サービス連携ロールをサポートします。または の作成の詳細については、 管理 Amazon ECS サービスリンク型の役割、を参照 Amazon ECS 用のサービスにリンクされたロール.

サービス 役割

この機能により、サービスは サービスロール を代理します。この役割では、サービスに ユーザーに代わってアクションを完了するための他のサービス内のリソース。サービス ロール は IAM アカウントを所有しています。つまり、 IAM 管理者はこのロールの権限を変更できます。しかし、そうすることは サービスの機能が壊れる可能性があります。

Amazon ECS は、サービス ロールをサポートします。