Amazon ECS API 작업에 지원되는 리소스 수준 권한 - Amazon ECS

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon ECS API 작업에 지원되는 리소스 수준 권한

리소스 수준 권한이라는 용어는 사용자가 작업을 수행할 수 있는 리소스를 지정하는 기능입니다. Amazon ECS는 리소스 수준 권한을 부분적으로 지원합니다. 즉, 필요 조건을 지정하거나 사용 가능한 특정 리소스를 지정하여 사용자가 특정 Amazon ECS 작업을 사용할 수 있는지 여부를 제어할 수 있습니다. 예를 들어 사용자에게 인스턴스 시작 권한을 부여하면서 특정 유형 또는 특정 AMI만 사용하도록 제한할 수 있습니다.

Amazon ECS 작업에 의해 생성되거나 수정된 리소스 및 IAM 정책 문에 사용할 수 있는 ARN 및 Amazon ECS 조건 키에 대한 자세한 내용은 IAM 사용 설명서에서 Amazon Elastic Container Service에 대한 작업, 리소스 및 조건 키를 참조하십시오.

리소스 수준 권한에 대한 고려 사항

IAM 정책의 리소스에 대한 Amazon 리소스 이름(ARN)을 지정하여 Amazon ECS API 작업 액세스를 제어하는 경우, ECS가 컨테이너 인스턴스, 서비스, 작업에 대한 ARN 유형에 영향을 주는 계정 설정을 도입했음을 염두하십시오. 리소스 수준 권한을 사용하려면 새롭고 더욱 긴 ARN 유형을 사용하기를 권장합니다. 자세한 내용은 Amazon 리소스 이름(ARN) 및 ID 단원을 참조하십시오.

IAM 정책이 평가될 때 새롭고 더욱 긴 ARN 유형을 사용하는지를 바탕으로 지정 리소스를 평가합니다. 다음은 액세스 제어 방법에 대한 예입니다.

와일드카드를 사용해 클러스터 한정 서비스 지정

예: arn:aws:ecs:region:aws_account_id:service/cluster_name*

이 예제에서 액세스는 다음 서비스에 의해 제어됩니다.

  • 새 ARN 유형을 사용하는 모든 서비스는 cluster_name* 클러스터에 있습니다.

  • 기존 ARN 유형을 사용하는 모든 서비스는 cluster_name* 클러스터에 있습니다.

중요

이 예제는 cluster_name* 클러스터에 없고 서비스 이름에 cluster_name 접두사가 있으며 기존 ARN 유형을 사용하는 서비스의 액세스는 제어하지 않습니다.

와일드카드로 클러스터 및 서비스의 서비스 지정

예: arn:aws:ecs:region:aws_account_id:service/cluster_name/service_name*

이 예제에서 액세스는 다음 서비스에 의해 제어됩니다.

  • 새 ARN 유형을 사용하는 모든 서비스는 cluster_name 클러스터에 있고 service_name 접두사를 사용합니다.

  • 기존 ARN 유형을 사용하는 모든 서비스는 실제 서비스 ARN이 여전히 arn:aws:ecs:region:aws_account_id:service/service_name* ARN 유형을 사용한다고 해도 cluster_name 클러스터에 있고 service_name 접두사를 사용합니다.

전체 ARN이 있는 서비스 지정

예: arn:aws:ecs:region:aws_account_id:service/cluster_name/service_name

이 예제에서 액세스는 다음 서비스에 의해 제어됩니다.

  • 새 ARN 유형을 사용하는 모든 서비스는 cluster_name 클러스터에 있고 service_name 서비스 이름을 사용합니다.

  • 기존 ARN 유형을 사용하는 모든 서비스는 실제 서비스 ARN이 여전히 arn:aws:ecs:region:aws_account_id:service/service_name ARN 유형을 사용한다고 해도 cluster_name 클러스터에 있고 service_name 서비스 이름을 사용합니다.