Migrar para a política gerenciada AmazonECS_FullAccess
A política do IAM gerenciada AmazonEC2ContainerServiceFullAccess
foi desativada em 29 de janeiro de 2021, em resposta a uma descoberta relativa à segurança com a permissão iam:passRole
. Essa permissão concede acesso a todos os recursos, incluindo credenciais para funções da conta. Agora que a política está desativada, você não pode anexá-la a quaisquer novos grupos, usuários ou perfis. Quaisquer grupos, usuários ou funções que já tenham a política anexada poderão continuar a usá-la. Contudo, recomendamos que você atualize seus grupos, usuários ou perfis para usar a política gerenciada AmazonECS_FullAccess
.
As permissões que são concedidas pela política AmazonECS_FullAccess
incluem a lista completa de permissões necessárias para usar o ECS como administrador. Se você atualmente usa permissões concedidas pela política AmazonEC2ContainerServiceFullAccess
que não estão na política AmazonECS_FullAccess
, pode adicioná-las a uma declaração de política em linha. Para ter mais informações, consulte Políticas gerenciadas pela AWS para o Amazon Elastic Container Service.
Use as etapas a seguir para determinar se você tem grupos, usuários ou perfis que estão usando, no momento, a política gerenciada do IAM AmazonEC2ContainerServiceFullAccess
. Em seguida, atualize-os para desvincular a política anterior e anexar a política AmazonECS_FullAccess
.
Para atualizar um grupo, usuário ou perfil para usar a política AmazonECS_FullAccess policy (AWS Management Console)
-
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies (Políticas) e pesquise e selecione a política
AmazonEC2ContainerServiceFullAccess
. -
Escolha a guia Policy usage (Uso da política), que exibe qualquer função do IAM que está usando essa política, no momento.
-
Para cada perfil do IAM que está usando a política
AmazonEC2ContainerServiceFullAccess
no momento, selecione o perfil e use as etapas a seguir para desanexar a política desativada e anexar a políticaAmazonECS_FullAccess
.-
Na guia Permissions (Permissões), escolha o X ao lado da política AmazonEC2ContainerServiceFullAccess.
-
Escolha Add permissions (Adicionar permissões).
-
Escolha Attach existing policies directly (Anexar políticas existentes diretamente), pesquise e selecione a política AmazonECS_FullAccess e escolha Next: Review (Próximo: Análise).
-
Analise as alterações e escolha Add permissions (Adicionar permissões).
-
Repita essas etapas para cada grupo, usuário ou perfil que esteja usando a política
AmazonEC2ContainerServiceFullAccess
.
-
Para atualizar um grupo, usuário ou perfil para usar a política AmazonECS_FullAccess
(AWS CLI)
-
Use o comando generate-service-last-accessed-details para gerar um relatório que inclua detalhes sobre quando a política desativada foi usada pela última vez.
aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess
Resultado do exemplo:
{ "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE" }
-
Use o ID do trabalho da saída anterior com o comando get-service-last-accessed-details para recuperar o último relatório acessado do serviço. Esse relatório exibe o nome do recurso da Amazon (ARN) das entidades do IAM que usaram a política desativada pela última vez.
aws iam get-service-last-accessed-details \ --job-id
32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
-
Use um dos seguintes comandos para desvincular a política
AmazonEC2ContainerServiceFullAccess
de um grupo, usuário ou perfil. -
Use um dos comandos a seguir para anexar a política
AmazonECS_FullAccess
a um grupo, usuário ou perfil.