Amazon Elastic Container Service의 AWS 관리형 정책 - Amazon Elastic Container Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Elastic Container Service의 AWS 관리형 정책

사용자, 그룹 또는 역할에 권한을 추가하려면 정책을 직접 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 편리합니다. 시간과 전문 지식이 필요합니다.createIAM고객 관리형 정책팀에 필요한 권한만 제공하는 것이 좋습니다. AWS 관리형 정책을 사용하면 신속하게 시작할 수 있습니다. 이러한 정책은 일반적인 사용 사례에 적용되며 AWS 계정에서 사용할 수 있습니다. 에 대한 자세한 내용AWS관리형 정책에 대한 자세한 내용은AWS관리형 정책IAM 사용 설명서.

AWS 관리형 정책은 AWS 서비스를 통해 유지 관리되고 업데이트됩니다. AWS 관리형 정책의 권한은 변경할 수 없습니다. AWS 관리형 정책에는 새로운 기능을 지원하기 위한 추가 권한이 때에 따라 추가됩니다. 이 유형의 업데이트는 정책이 연결되어 있는 모든 자격 증명(사용자, 그룹 및 역할)에 적용됩니다. 새 기능이 출시되거나 새 작업이 사용 가능해지면 서비스를 통해 AWS 관리형 정책이 업데이트될 수 있습니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로, 정책 업데이트로 기존 권한이 손상되지는 않습니다.

또한 AWS는 여러 서비스에 걸쳐 있는 직무에 대한 관리형 정책을 지원합니다. 예를 들어 ReadOnlyAccess라는 이름의 AWS 관리형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 서비스에서 새 기능을 시작하면 AWS는 새 작업 및 리소스에 대한 읽기 전용 권한을 추가합니다. 직무 정책의 목록과 설명은 단원을 참조하세요.AWS직무에 관한 관리형 정책IAM 사용 설명서.

Amazon ECS및Amazon ECR에 연결할 수 있는 여러 관리형 정책 및 신뢰 관계를 제공합니다.AWS Identity and Access Management(IAM) 사용자Amazon EC2인스턴스 및Amazon ECS는 리소스 및 API 작업에 대한 제어 수준을 다양화할 수 있습니다. 이러한 정책은 직접 적용할 수도 있고, 사용자 고유의 정책을 생성하기 위한 시작 지점으로 정책을 사용할 수도 있습니다. 에 대한 자세한 내용은 단원을 참조하십시오.Amazon ECR관리형 정책에 대한 자세한 내용은Amazon ECR관리형 정책.

AmazonECS_FullAccess

연결할 수 있습니다.AmazonECS_FullAccess정책을 에 연결하려면IAM자격 증명

이 정책은 관리 액세스 권한을 부여합니다.Amazon ECS리소스를 할당하고IAM자격 증명 (예: 사용자, 그룹 또는 역할) 이AWS서비스를Amazon ECS와 통합되어 모든Amazon ECS기능을 사용합니다. 이 정책을 사용하면 모든Amazon ECS에서 사용할 수 있는AWS Management Console.

권한 세부 정보

AmazonECS_FullAccess관리형IAM정책에는 다음 권한이 포함되어 있습니다. 최소 권한을 부여하는 모범 사례를 따라, 당신은 사용할 수 있습니다AmazonECS_FullAccess관리형 정책을 사용자 고유의 사용자 지정 정책을 생성하기 위한 템플릿으로 사용할 수 있습니다. 이렇게 하면 특정 요구 사항에 따라 관리형 정책에서 권한을 제거하거나 추가할 수 있습니다.

  • ecs –보안 주체가 모든 항목에 대한 전체 액세스 권한을 허용합니다.Amazon ECSAPI를 사용합니다.

  • application-autoscaling –주도자가 작성, 설명 및 관리할 수 있습니다.Application Auto Scaling있습니다. 이 작업은 서비스 자동 크기 조정을 사용하도록 설정할 때 필요합니다.Amazon ECS서비스.

  • appmesh –보안 주체가 나열할 수 있도록 허용App Mesh서비스 메쉬 및 가상 노드 및 설명App Mesh가상 노드. 이는 통합 할 때 필요합니다.Amazon ECS와 서비스App Mesh.

  • autoscaling –보안 주체가 생성, 관리 및 설명할 수 있도록 허용Amazon EC2 Auto Scaling있습니다. 관리 할 때 필요합니다.Amazon EC2클러스터 Auto Scaling 기능을 사용하는 경우 Auto Scaling 그룹을 생성합니다

  • cloudformation –주도자가 만들고 관리할 수 있도록 허용AWS CloudFormation스택을 선택합니다. 생성 할 때 필요합니다.Amazon ECS클러스터를 사용하여AWS Management Console및 이러한 클러스터의 후속 관리 작업을 수행할 수 있습니다.

  • cloudwatch –보안 주체가 생성, 관리 및 설명할 수 있도록 허용Amazon CloudWatch경보.

  • codedeploy –보안 주체는 응용 프로그램 배포를 생성 및 관리하고 구성, 수정 버전 및 배포 대상을 볼 수 있습니다.

  • sns –보안 주체가 목록을 볼 수 있도록 허용합니다.Amazon SNS주제를 알아봅니다.

  • lambda –보안 주체가 목록을 볼 수 있도록 허용합니다.AWS Lambda함수와 해당 버전 별 구성을 사용할 수 있습니다.

  • ec2 –주도자 실행 허용Amazon EC2인스턴스를 생성하고 라우트, 라우팅 테이블, 인터넷 게이트웨이, 시작 그룹, 보안 그룹, 가상 프라이빗 클라우드, 스팟 집합 및 서브넷을 관리할 수 있습니다.

  • elasticloadbalancing –주도자가 생성, 설명 및 삭제할 수 있습니다.Elastic Load Balancing로드 밸런서. 또한 보안 주체는 로드 밸런서에 대한 대상 그룹, 리스너 및 리스너 규칙을 완전히 관리할 수 있습니다.

  • events –주도자가 생성, 관리 및 삭제할 수 있습니다.Amazon EventBridge규칙 및 해당 대상.

  • iam–보안 주체가 나열할 수 있도록 허용IAM역할 및 연결된 정책에 대해 설명합니다. 보안 주체는 또한Amazon EC2인스턴스를 생성합니다.

  • logs –주도자가 만들고 설명할 수 있도록 허용Amazon CloudWatch Logs로그 그룹을 선택합니다. 보안 주체는 이러한 로그 그룹에 대한 로그 이벤트를 나열할 수도 있습니다.

  • route53 –주도자가 생성, 관리 및 삭제할 수 있습니다.Amazon Route 53호스팅 영역 보안 주체도 볼 수 있습니다.Amazon Route 53상태 확인 구성 및 정보를 볼 수 있습니다. 호스팅 영역에 대한 자세한 내용은 단원을 참조하세요.호스팅 영역 작업.

  • servicediscovery –주도자가 생성, 관리 및 삭제할 수 있습니다.AWS Cloud Map서비스를 사용하여 개인 DNS 네임스페이스를 만들 수 있습니다.

다음은 그 한 예입니다.AmazonECS_FullAccess정책을 참조하십시오.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget", "appmesh:ListMeshes", "appmesh:ListVirtualNodes", "appmesh:DescribeVirtualNode", "autoscaling:UpdateAutoScalingGroup", "autoscaling:CreateAutoScalingGroup", "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:DeleteLaunchConfiguration", "autoscaling:Describe*", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack", "cloudwatch:DescribeAlarms", "cloudwatch:DeleteAlarms", "cloudwatch:GetMetricStatistics", "cloudwatch:PutMetricAlarm", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetDeployment", "codedeploy:GetDeploymentGroup", "codedeploy:ListApplications", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:StopDeployment", "codedeploy:GetDeploymentTarget", "codedeploy:ListDeploymentTargets", "codedeploy:GetDeploymentConfig", "codedeploy:GetApplicationRevision", "codedeploy:RegisterApplicationRevision", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:BatchGetApplications", "codedeploy:ListApplicationRevisions", "codedeploy:ListDeploymentConfigs", "codedeploy:ContinueDeployment", "sns:ListTopics", "lambda:ListFunctions", "ec2:AssociateRouteTable", "ec2:AttachInternetGateway", "ec2:AuthorizeSecurityGroupIngress", "ec2:CancelSpotFleetRequests", "ec2:CreateInternetGateway", "ec2:CreateLaunchTemplate", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:DeleteLaunchTemplate", "ec2:DeleteSubnet", "ec2:DeleteVpc", "ec2:Describe*", "ec2:DetachInternetGateway", "ec2:DisassociateRouteTable", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:RunInstances", "ec2:RequestSpotFleet", "elasticloadbalancing:CreateListener", "elasticloadbalancing:CreateLoadBalancer", "elasticloadbalancing:CreateRule", "elasticloadbalancing:CreateTargetGroup", "elasticloadbalancing:DeleteListener", "elasticloadbalancing:DeleteLoadBalancer", "elasticloadbalancing:DeleteRule", "elasticloadbalancing:DeleteTargetGroup", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeTargetGroups", "ecs:*", "events:DescribeRule", "events:DeleteRule", "events:ListRuleNamesByTarget", "events:ListTargetsByRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets", "iam:ListAttachedRolePolicies", "iam:ListInstanceProfiles", "iam:ListRoles", "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:FilterLogEvents", "route53:GetHostedZone", "route53:ListHostedZonesByName", "route53:CreateHostedZone", "route53:DeleteHostedZone", "route53:GetHealthCheck", "servicediscovery:CreatePrivateDnsNamespace", "servicediscovery:CreateService", "servicediscovery:GetNamespace", "servicediscovery:GetOperation", "servicediscovery:GetService", "servicediscovery:ListNamespaces", "servicediscovery:ListServices", "servicediscovery:UpdateService", "servicediscovery:DeleteService" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ssm:GetParametersByPath", "ssm:GetParameters", "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/aws/service/ecs*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteInternetGateway", "ec2:DeleteRoute", "ec2:DeleteRouteTable", "ec2:DeleteSecurityGroup" ], "Resource": [ "*" ], "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "EC2ContainerService-*" } } }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsInstanceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn" ] } } }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsAutoscaleRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "application-autoscaling.amazonaws.com", "application-autoscaling.amazonaws.com.cn" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "ecs.amazonaws.com", "spot.amazonaws.com", "spotfleet.amazonaws.com", "ecs.application-autoscaling.amazonaws.com", "autoscaling.amazonaws.com" ] } } } ] }

AmazonEC2ContainerServiceforEC2Role

Amazon ECS이 정책을 서비스 역할에 연결합니다.Amazon ECS귀하를 대신하여 작업을 수행하도록Amazon EC2인스턴스 또는 외부 인스턴스에 연결할 수 있습니다.

이 정책은 다음을 허용하는 관리 권한을 부여합니다.Amazon ECS컨테이너 인스턴스를 사용하여 를 호출할 수 있습니다.AWS를 대신하여 선택합니다. 자세한 정보는 Amazon ECS컨테이너 인스턴스IAM역할을 참조하십시오.

Considerations

다음을 고려해야 하는 권장 사항 및 고려 사항을 고려해야 합니다AmazonEC2ContainerServiceforEC2Role관리형IAM정책을 참조하십시오.

  • 최소 권한 부여에 대한 표준 보안 권고 사항에 따라AmazonEC2ContainerServiceforEC2Role관리형 정책을 사용하여 특정 요구 사항에 맞게 구성할 수 있습니다. 관리형 정책에서 부여된 권한이 사용 사례에 필요하지 않은 경우 사용자 지정 정책을 생성하고 필요한 권한만 추가합니다. 예를 들어,UpdateContainerInstancesState에 대한 권한이 제공됩니다.스팟 인스턴스배수구 사용 사례에 해당 권한이 필요하지 않은 경우 사용자 지정 정책을 사용하여 해당 권한을 제외합니다. 자세한 정보는 권한 세부 정보을 참조하십시오.

  • 컨테이너 인스턴스에서 실행되는 컨테이너는 인스턴스 메타데이터를 통해 컨테이너 인스턴스 역할에 제공된 모든 권한에 액세스할 수 있습니다. 컨테이너 인스턴스 역할의 권한을 에 제공된 최소 권한 목록으로 제한하는 것이 좋습니다.AmazonEC2ContainerServiceforEC2Role정책을 참조하십시오. 작업의 컨테이너에 나열되지 않은 추가 권한이 필요할 경우, 이러한 작업에 자체IAM역할을 수행합니다. 자세한 정보는 작업에 대한 IAM 역할을 참조하십시오.

    컨테이너는docker0브리지가 컨테이너 인스턴스 역할에 제공된 권한에 액세스하지 못하도록 합니다. 에서 제공 하는 사용 권한을 허용 하는 동안이 작업을 수행할 수 있습니다.작업에 대한 IAM 역할다음 명령을 실행하여 을 실행합니다.iptables명령을 컨테이너 인스턴스에 추가합니다. 컨테이너는 이 규칙이 적용되는 인스턴스 메타데이터를 쿼리할 수 없습니다. 단, 이 명령은 기본 도커 브리지 구성을 가정하며,host네트워크 모드를 선택합니다. 자세한 정보는 네트워크 모드을 참조하십시오.

    sudo yum install -y iptables-services; sudo iptables --insert FORWARD 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP

    재부팅 시 이 iptables 규칙이 유지되게 하려면 규칙을 컨테이너 인스턴스에 저장해야 합니다. Amazon ECS-optimized AMI의 경우, 다음 명령을 사용합니다. 다른 운영 체제의 경우 해당 운영 체제 설명서를 참조하십시오.

    • Amazon ECS-optimized Amazon Linux 2 AMI의 경우:

      sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
    • Amazon ECS-optimized Amazon Linux AMI의 경우:

      sudo service iptables save

권한 세부 정보

AmazonEC2ContainerServiceforEC2Role관리형IAM정책에는 다음 권한이 포함되어 있습니다. 최소 권한 부여에 대한 표준 보안 권고 사항에 따라AmazonEC2ContainerServiceforEC2Role관리형 정책을 가이드로 사용할 수 있습니다. 사용 사례에 대해 관리형 정책에서 부여된 권한이 필요하지 않은 경우 사용자 지정 정책을 생성하고 필요한 권한만 추가합니다.

  • ec2:DescribeTags –보안 주체에게 연결된 태그를 설명할 수 있습니다.Amazon EC2인스턴스로 이동합니다. 이 사용 권한은Amazon ECS컨테이너 에이전트를 사용하여 리소스 태그 전파를 지원할 수 있습니다. 자세한 정보는 리소스에 태그 지정을 참조하십시오.

  • ecs:CreateCluster –보안 주체가Amazon ECS클러스터로 이동합니다. 이 사용 권한은Amazon ECS컨테이너 에이전트를 사용하여default클러스터가 없는 경우 이 단계를 따릅니다.

  • ecs:DeregisterContainerInstance –보안 주체가 등록 취소할 수 있도록 허용합니다.Amazon ECS컨테이너 인스턴스를 클러스터에서 제거할 수 있습니다. 이Amazon ECS컨테이너 에이전트는이 API를 호출하지 않지만이 권한은 이전 버전과의 호환성을 보장하기 위해 남아 있습니다.

  • ecs:DiscoverPollEndpoint –이 작업은 끝점을 반환Amazon ECS컨테이너 에이전트가 업데이트를 폴링하는 데 사용합니다.

  • ecs:Poll –허용된Amazon ECS컨테이너 에이전트와 통신하도록Amazon ECS컨트롤 플레인을 사용하여 작업 상태 변경 사항을 보고합니다.

  • ecs:RegisterContainerInstance –보안 주체가 클러스터에 컨테이너 인스턴스를 등록할 수 있습니다. 이 사용 권한은Amazon ECS컨테이너 에이전트를 사용하여Amazon EC2인스턴스를 클러스터와 함께 사용하고 리소스 태그 전파를 지원할 수 있습니다.

  • ecs:StartTelemetrySession –허용된Amazon ECS컨테이너 에이전트와 통신하도록Amazon ECS컨트롤 플레인을 사용하여 각 컨테이너 및 작업에 대한 상태 정보 및 메트릭을 보고합니다.

  • ecs:UpdateContainerInstancesState –보안 주체에서는 보안 주체로부터 상태를 수정할 수 있습니다.Amazon ECS컨테이너 인스턴스에 대해 설명합니다. 이 사용 권한은Amazon ECS컨테이너 에이전트스팟 인스턴스배수구 자세한 정보는 스팟 인스턴스 드레이닝을 참조하십시오.

  • ecs:Submit* –여기에는 다음이 포함됩니다.SubmitAttachmentStateChanges,SubmitContainerStateChange, 및SubmitTaskStateChangeAPI 작업을 수행합니다. 그들은에 의해 사용되는Amazon ECS컨테이너 에이전트를 사용하여 각 리소스에 대한 상태 변경 사항을Amazon ECS제어 플레인 이SubmitContainerStateChange권한이 더 이상 사용되지 않는Amazon ECS컨테이너 에이전트에 있지만 이전 버전과의 호환성을 보장하기 위해 남아 있습니다.

  • ecr:GetAuthorizationToken –보안 주체가 권한 부여 토큰을 검색할 수 있도록 허용합니다. 인증 토큰은IAM인증 자격 증명에 액세스할 수 있으며Amazon ECR레지스트리 (영문)IAM보안 주체가 에 액세스할 수 있습니다. 받은 권한 부여 토큰은 12시간 동안 유효합니다.

  • ecr:BatchCheckLayerAvailability –컨테이너 이미지가Amazon ECR개인 리포지토리에 따라 각 이미지 계층이 검사되어 이미 푸시되었는지 확인합니다. 그렇다면 이미지 계층을 건너뜁니다.

  • ecr:GetDownloadUrlForLayer –컨테이너 이미지에서 가져올 때Amazon ECR개인 저장소에서이 API는 이미 캐시되지 않은 각 이미지 레이어에 대해 한 번 호출됩니다.

  • ecr:BatchGetImage –컨테이너 이미지에서 가져올 때Amazon ECR이 API는 한 번 호출되어 이미지 매니페스트를 검색합니다.

  • logs:CreateLogStream –보안 주체가CloudWatch Logs지정된 로그 그룹에 대한 로그 스트림을 생성합니다.

  • logs:PutLogEvents –보안 주체에서는 로그 이벤트의 배치를 지정된 로그 스트림에 업로드할 수 있습니다.

다음은 그 한 예입니다.AmazonEC2ContainerServiceforEC2Role정책을 참조하십시오.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ecs:CreateCluster", "ecs:DeregisterContainerInstance", "ecs:DiscoverPollEndpoint", "ecs:Poll", "ecs:RegisterContainerInstance", "ecs:StartTelemetrySession", "ecs:UpdateContainerInstancesState", "ecs:Submit*", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }

AmazonEC2ContainerServiceEventsRole

이 정책은 다음을 허용하는 권한을 부여합니다.Amazon EventBridge(이전CloudWatch Events) 를 사용하여 사용자 대신 작업을 실행합니다. 이 정책은 에 연결될 수 있습니다.IAM역할은 예약된 작업을 만들 때 지정됩니다. 자세한 정보는 Amazon ECS CloudWatch Events IAM 역할을 참조하십시오.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecs –서비스의 보안 주체가Amazon ECSAPI RunTask

  • iam –어떤 통과 할 수 있습니다IAM의 서비스 역할을 모든Amazon ECS작업을 수행합니다.

다음은 그 한 예입니다.AmazonEC2ContainerServiceEventsRole정책을 참조하십시오.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } } ] }

AmazonECSTaskExecutionRolePolicy

AmazonECSTaskExecutionRolePolicy관리형IAM정책에서 필요한 사용 권한을 부여합니다.Amazon ECS컨테이너 에이전트 및AWS Fargate만들 컨테이너 에이전트AWSAPI 호출이 사용자를 대신하여 호출됩니다. 이 정책은 작업 실행에 추가할 수 있습니다.IAM역할 자세한 정보는 Amazon ECS작업 실행IAM역할을 참조하십시오.

권한 세부 정보

AmazonECSTaskExecutionRolePolicy관리형IAM정책에는 다음 권한이 포함되어 있습니다. 최소 권한 부여에 대한 표준 보안 권고 사항에 따라AmazonECSTaskExecutionRolePolicy관리형 정책을 가이드로 사용할 수 있습니다. 관리형 정책에서 부여된 권한이 사용 사례에 필요하지 않은 경우 사용자 지정 정책을 생성하고 필요한 권한만 추가합니다.

  • ecr:GetAuthorizationToken –보안 주체가 권한 부여 토큰을 검색할 수 있도록 허용합니다. 인증 토큰은IAM인증 자격 증명에 액세스할 수 있으며Amazon ECR레지스트리 (영문)IAM보안 주체가 에 액세스할 수 있습니다. 받은 권한 부여 토큰은 12시간 동안 유효합니다.

  • ecr:BatchCheckLayerAvailability –컨테이너 이미지가Amazon ECR개인 리포지토리에 따라 각 이미지 계층이 검사되어 이미 푸시되었는지 확인합니다. 푸시되면 이미지 계층을 건너뜁니다.

  • ecr:GetDownloadUrlForLayer –컨테이너 이미지에서 가져올 때Amazon ECR개인 저장소에서이 API는 이미 캐시되지 않은 각 이미지 레이어에 대해 한 번 호출됩니다.

  • ecr:BatchGetImage –컨테이너 이미지에서 가져올 때Amazon ECR이 API는 한 번 호출되어 이미지 매니페스트를 검색합니다.

  • logs:CreateLogStream –보안 주체가CloudWatch Logs지정된 로그 그룹에 대한 로그 스트림을 생성합니다.

  • logs:PutLogEvents –보안 주체에서는 로그 이벤트의 배치를 지정된 로그 스트림에 업로드할 수 있습니다.

다음은 그 한 예입니다.AmazonECSTaskExecutionRolePolicy정책을 참조하십시오.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }

AWSApplicationAutoscalingECSServicePolicy

연결할 수 없습니다.AWSApplicationAutoscalingECSServicePolicy에IAM엔터티 이 정책은 서비스 연결 역할에 연결됩니다.Application Auto Scaling를 선택하여 사용자 대신 작업을 수행합니다. 자세한 내용은 단원을 참조하십시오.에 대한 서비스 연결 역할Application Auto Scaling.

AWSCodeDeployRoleForECS

연결할 수 없습니다.AWSCodeDeployRoleForECS에IAM엔터티 이 정책은 서비스 연결 역할에 연결됩니다.CodeDeploy를 선택하여 사용자 대신 작업을 수행합니다. 자세한 내용은 단원을 참조하십시오.에 대한 서비스 역할 생성CodeDeployAWS CodeDeploy User Guide.

AWSCodeDeployRoleForECSLimited

연결할 수 없습니다.AWSCodeDeployRoleForECSLimited에IAM엔터티 이 정책은 서비스 연결 역할에 연결됩니다.CodeDeploy를 선택하여 사용자 대신 작업을 수행합니다. 자세한 내용은 단원을 참조하십시오.에 대한 서비스 역할 생성CodeDeployAWS CodeDeploy User Guide.

Amazon ECS에 대한 업데이트AWS관리형 정책

업데이트에 대한 세부 정보를 봅니다.AWS의 관리형 정책Amazon ECS이 서비스가 이러한 변경 사항을 추적하기 시작했기 때문입니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면Amazon ECS문서 기록 페이지.

변경 사항 설명 날짜

Amazon ECS변경 내용 추적 시작

Amazon ECS의 변경 내용 추적 시작AWS관리형 정책.

2021년 6월 8일