Migrar para a política gerenciada AmazonECS_FullAccess - Amazon Elastic Container Service

Migrar para a política gerenciada AmazonECS_FullAccess

A política do IAM gerenciada AmazonEC2ContainerServiceFullAccess foi desativada em 29 de janeiro de 2021, em resposta a uma descoberta relativa à segurança com a permissão iam:passRole. Essa permissão concede acesso a todos os recursos, incluindo credenciais para funções da conta. Agora que a política está desativada, você não pode anexá-la a quaisquer novos grupos, usuários ou perfis. Quaisquer grupos, usuários ou funções que já tenham a política anexada poderão continuar a usá-la. Contudo, recomendamos que você atualize seus grupos, usuários ou perfis para usar a política gerenciada AmazonECS_FullAccess.

As permissões que são concedidas pela política AmazonECS_FullAccess incluem a lista completa de permissões necessárias para usar o ECS como administrador. Se você atualmente usa permissões concedidas pela política AmazonEC2ContainerServiceFullAccess que não estão na política AmazonECS_FullAccess, pode adicioná-las a uma declaração de política em linha. Para ter mais informações, consulte Políticas gerenciadas pela AWS para o Amazon Elastic Container Service.

Use as etapas a seguir para determinar se você tem grupos, usuários ou perfis que estão usando, no momento, a política gerenciada do IAM AmazonEC2ContainerServiceFullAccess. Em seguida, atualize-os para desvincular a política anterior e anexar a política AmazonECS_FullAccess.

Para atualizar um grupo, usuário ou perfil para usar a política AmazonECS_FullAccess policy (AWS Management Console)
  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas) e pesquise e selecione a política AmazonEC2ContainerServiceFullAccess.

  3. Escolha a guia Policy usage (Uso da política), que exibe qualquer função do IAM que está usando essa política, no momento.

  4. Para cada perfil do IAM que está usando a política AmazonEC2ContainerServiceFullAccess no momento, selecione o perfil e use as etapas a seguir para desanexar a política desativada e anexar a política AmazonECS_FullAccess.

    1. Na guia Permissions (Permissões), escolha o X ao lado da política AmazonEC2ContainerServiceFullAccess.

    2. Escolha Add permissions (Adicionar permissões).

    3. Escolha Attach existing policies directly (Anexar políticas existentes diretamente), pesquise e selecione a política AmazonECS_FullAccess e escolha Next: Review (Próximo: Análise).

    4. Analise as alterações e escolha Add permissions (Adicionar permissões).

    5. Repita essas etapas para cada grupo, usuário ou perfil que esteja usando a política AmazonEC2ContainerServiceFullAccess.

Para atualizar um grupo, usuário ou perfil para usar a política AmazonECS_FullAccess (AWS CLI)
  1. Use o comando generate-service-last-accessed-details para gerar um relatório que inclua detalhes sobre quando a política desativada foi usada pela última vez.

    aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    Resultado do exemplo:

    { "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE" }
  2. Use o ID do trabalho da saída anterior com o comando get-service-last-accessed-details para recuperar o último relatório acessado do serviço. Esse relatório exibe o nome do recurso da Amazon (ARN) das entidades do IAM que usaram a política desativada pela última vez.

    aws iam get-service-last-accessed-details \ --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
  3. Use um dos seguintes comandos para desvincular a política AmazonEC2ContainerServiceFullAccess de um grupo, usuário ou perfil.

  4. Use um dos comandos a seguir para anexar a política AmazonECS_FullAccess a um grupo, usuário ou perfil.