Políticas gerenciadas pela AWS para o Amazon Elastic Container Service - Amazon Elastic Container Service

Políticas gerenciadas pela AWS para o Amazon Elastic Container Service

Para adicionar permissões a usuários, grupos e perfis, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, é possível usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua conta da AWS. Para obter mais informações sobre políticas gerenciadas pela AWS, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.

Além disso, a AWS é compatível com políticas gerenciadas por perfis de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess política gerenciada pela AWS fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

O Amazon ECS e o Amazon ECR fornecem várias políticas gerenciadas e relacionamentos de confiança que você pode anexar aos usuários, aos grupos, aos perfis, às instâncias do Amazon EC2 e às tarefas do Amazon ECS que permitem diferentes níveis de controle sobre recursos e operações de API. É possível aplicar essas políticas diretamente ou usá-las como ponto de partida para criar suas próprias políticas. Para obter mais informações sobre políticas gerenciadas pelo Amazon ECR, consulte Políticas gerenciadas pelo Amazon ECR.

AmazonECS_FullAccess

É possível anexar a política AmazonECS_FullAccess às identidades do IAM. Essa política concede acesso administrativo a recursos do Amazon ECS e concede a uma identidade do IAM (como usuário, grupo ou função) acesso aos serviços da AWS aos quais o Amazon ECS está integrado para usar todos os recursos do Amazon ECS. O uso dessa política permite o acesso a todos os recursos do Amazon ECS que estão disponíveis no AWS Management Console.

Para visualizar as permissões dessa política, consulte AmazonECS_FullAccess na Referência de políticas gerenciadas da AWS.

AmazonECSInfrastructureRolePolicyForVolumes

É possível anexar a política gerenciada AmazonECSInfrastructureRolePolicyForVolumes às suas entidades do IAM.

A política concede as permissões necessárias para que o Amazon ECS faça chamadas de API da AWS em seu nome. Você pode anexar essa política ao perfil do IAM fornecido com a configuração do volume ao iniciar tarefas e serviços do Amazon ECS. O perfil permite que o Amazon ECS gerencie volumes anexados às suas tarefas. Para obter mais informações, consulte Amazon ECS infrastructure IAM role.

Para visualizar as permissões dessa política, consulte AmazonECSInfrastructureRolePolicyForVolumes na Referência de políticas gerenciadas pela AWS.

AmazonEC2ContainerServiceforEC2Role

É possível anexar a política AmazonEC2ContainerServiceforEC2Role às identidades do IAM. Essa política concede permissões administrativas que permitem que as instâncias de contêineres do Amazon ECS façam chamadas para a AWS em seu nome. Para ter mais informações, consulte Função do IAM de instância de contêiner do Amazon ECS.

O Amazon ECS anexa essa política a uma função de serviço que permite que o Amazon ECS execute ações em seu nome contra instâncias do Amazon EC2 ou instâncias externas.

Para visualizar as permissões dessa política, consulte AmazonEC2ContainerServiceforEC2Role na Referência de políticas gerenciadas pela AWS.

Considerações

Você deve considerar as seguintes recomendações e considerações quando usar a política do IAM gerenciada AmazonEC2ContainerServiceforEC2Role.

  • Ao seguir o aviso de segurança padrão de concessão de privilégio mínimo, você pode modificar a política gerenciada AmazonEC2ContainerServiceforEC2Role para atender às suas necessidades específicas. Se qualquer permissão concedida na política gerenciada não for necessária para seu caso de uso, crie uma política personalizada e adicione apenas as permissões necessárias. Por exemplo, a permissão UpdateContainerInstancesState é fornecida para drenagem de instâncias spot. Se essa permissão não for necessária para o seu caso de uso, exclua-a usando uma política personalizada.

  • Os contêineres em execução nas instâncias de contêiner têm acesso a todas as permissões dadas à função da instância de contêiner por meio de instance metadata. Recomendamos que você limite as permissões na função de instância de contêiner à lista mínima de permissões fornecidas na política gerenciada AmazonEC2ContainerServiceforEC2Role mostrada. Caso os contêineres das tarefas precisem de permissões adicionais não listadas aqui, recomendamos que estas tarefas sejam fornecidas com as próprias funções do IAM. Para ter mais informações, consulte Perfil do IAM para tarefas do Amazon ECS.

    É possível impedir que contêineres na ponte docker0 acessem as permissões fornecidas para o perfil de instância de contêiner. Isso pode ser feito enquanto ainda concede as permissões fornecidas pelo Perfil do IAM para tarefas do Amazon ECS ao executar o seguinte comando iptables nas instâncias de contêiner. Os contêineres não podem consultar metadados de instância com essa regra em vigor. Esse comando pressupõe a configuração de ponte do Docker padrão e não funciona para contêineres que usam o modo de rede host. Para ter mais informações, consulte Modo de rede.

    sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP

    Você deve salvar essa regra iptables em sua instância de contêiner para ela sobreviver uma reinicialização. Para a AMI otimizada para Amazon ECS, use o seguinte comando. Para outros sistemas operacionais, consulte a documentação do SO em questão.

    • Para a AMI do Amazon Linux 2 otimizada para o Amazon ECS:

      sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
    • Para a AMI do Amazon Linux otimizada para o Amazon ECS:

      sudo service iptables save

AmazonEC2ContainerServiceEventsRole

É possível anexar a política AmazonEC2ContainerServiceEventsRole às identidades do IAM. Essa política concede permissões que possibilitam que o Amazon EventBridge (anteriormente conhecido como CloudWatch Events) execute tarefas em seu nome. Essa política pode ser anexada à função do IAM especificada quando você cria tarefas programadas. Para ter mais informações, consulte Perfil do IAM para EventBridge do Amazon ECS.

Para visualizar as permissões dessa política, consulte AmazonEC2ContainerServiceEventsRole na Referência de políticas gerenciadas pela AWS.

AmazonECSTaskExecutionRolePolicy

A política do IAM AmazonECSTaskExecutionRolePolicy gerenciada concede as permissões necessárias para que o agente de contêiner do Amazon ECS e os agentes de contêiner do AWS Fargate façam chamadas de API da AWS em seu nome. Essa política pode ser adicionada à função do IAM de execução de tarefas. Para ter mais informações, consulte Função do IAM de execução de tarefas do Amazon ECS.

Para visualizar as permissões dessa política, consulte AmazonECSTaskExecutionRolePolicy na Referência de políticas gerenciadas pela AWS.

AmazonECSServiceRolePolicy

A política do IAM gerenciada AmazonECSServiceRolePolicy permite que o Amazon Elastic Container Service gerencie seu cluster. Essa política pode ser adicionada à função do IAM de execução de tarefas. Para ter mais informações, consulte Função do IAM de execução de tarefas do Amazon ECS.

Para visualizar as permissões dessa política, consulte AmazonECSServiceRolePolicy na Referência de políticas gerenciadas pela AWS.

AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

Também é possível anexar a política AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity às suas entidades do IAM. Essa política fornece acesso administrativo à AWS Private Certificate Authority, ao Secrets Manager e a outros serviços da AWS necessários para gerenciar os recursos de TLS do Amazon ECS Service Connect em seu nome.

Para visualizar as permissões dessa política, consulte AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity na Referência de políticas gerenciadas pela AWS.

AWSApplicationAutoscalingECSServicePolicy

Não é possível anexar AWSApplicationAutoscalingECSServicePolicy às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Application Auto Scaling execute ações em seu nome. Para obter mais informações, consulte Funções vinculadas ao serviço para o Application Auto Scaling.

Para exibir as permissões dessa política, consulte AWSApplicationAutoscalingECSServicePolicy na Referência de política gerenciada da AWS.

AWSCodeDeployRoleForECS

Não é possível anexar AWSCodeDeployRoleForECS às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CodeDeploy execute ações em seu nome. Para obter mais informações, consulte Criar uma função de serviço para o CodeDeploy no Guia do usuário do AWS CodeDeploy.

Para visualizar as permissões dessa política, consulte AWSCodeDeployRoleForECS na Referência de políticas gerenciadas pela AWS.

AWSCodeDeployRoleForECSLimited

Não é possível anexar AWSCodeDeployRoleForECSLimited às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CodeDeploy execute ações em seu nome. Para obter mais informações, consulte Criar uma função de serviço para o CodeDeploy no Guia do usuário do AWS CodeDeploy.

Para visualizar as permissões dessa política, consulte AWSCodeDeployRoleForECSLimited na Referência de políticas gerenciadas pela AWS.

AmazonECSInfrastructureRolePolicyForVpcLattice

Também é possível anexar a política AmazonECSInfrastructureRolePolicyForVpcLattice às suas entidades do IAM. Essa política fornece acesso a outros recursos do serviço da AWS necessários para gerenciar volumes associados a workloads do Amazon ECS em seu nome.

Para visualizar as permissões dessa política, consulte AmazonECSInfrastructureRolePolicyForVpcLattice na Referência de políticas gerenciadas pela AWS.

Fornece acesso a outros recursos do serviço da AWS necessários para gerenciar volumes associados a workloads do Amazon ECS em seu nome.

Atualizações do Amazon ECS para políticas gerenciadas pela AWS

Visualize detalhes sobre atualizações de políticas gerenciadas pela AWS para o Amazon ECS desde que este serviço passou a rastrear essas mudanças. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico de documentos do Amazon ECS.

Alteração Descrição Data

Adicionar nova AmazonECSInfrastructureRolePolicyForVpcLattice

Fornece acesso a outros recursos do serviço da AWS necessários para gerenciar volumes associados a workloads do Amazon ECS em seu nome. 18 de novembro de 2024

Adicionar permissões a AmazonECSInfrastructureRolePolicyForVolumes

A política AmazonECSInfrastructureRolePolicyForVolumes foi atualizada para permitir que os clientes criem um volume do Amazon EBS com base em um snapshot. 10 de outubro de 2024

Adicionou permissões a AmazonECS_FullAccess

A política AmazonECS_FullAccess foi atualizada para adicionar permissões iam:PassRole para perfis do IAM para um perfil chamado ecsInfrastructureRole. Este é o perfil padrão do IAM criado pelo AWS Management Console, destinado a ser usado como um perfil de infraestrutura do ECS que permite ao Amazon ECS gerenciar volumes do Amazon EBS anexados às tarefas do ECS. 13 de agosto de 2024

Adicionar nova política AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity

Foi adicionada uma nova política AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity que fornece acesso administrativo ao AWS KMS, à AWS Private Certificate Authority e ao Secrets Manager e permite que os recursos de TLS do Amazon ECS Service Connect funcionem adequadamente.

22 de janeiro de 2024

Adicionar nova política AmazonECSInfrastructureRolePolicyForVolumes

A política AmazonECSInfrastructureRolePolicyForVolumes foi adicionada. A política concede as permissões necessárias ao Amazon ECS para fazer chamadas de API da AWS a fim de gerenciar volumes do Amazon EBS associados às workloads do Amazon ECS. 11 de janeiro de 2024

Adicionar permissões ao AmazonECSServiceRolePolicy

A política do IAM gerenciada AmazonECSServiceRolePolicy foi atualizada com novas permissões de events e permissões adicionais de autoscaling e autoscaling-plans. 4 de dezembro de 2023

Adicionar permissões a AmazonEC2ContainerServiceEventsRole

A política do IAM gerenciada AmazonECSServiceRolePolicy foi atualizada para permitir o acesso à API DiscoverInstancesRevision do AWS Cloud Map. 4 de outubro de 2023

Adicione permissões ao AmazonEC2ContainerServiceforEC2Role

A política AmazonEC2ContainerServiceforEC2Role foi modificada para adicionar a permissão ecs:TagResource, que inclui uma condição que limita a permissão somente aos clusters recém-criados e às instâncias de contêiner registradas. 6 de março de 2023

Adicionar permissão a AmazonECS_FullAccess

A política AmazonECS_FullAccess foi modificada para adicionar a permissão elasticloadbalancing:AddTags, que inclui uma condição que limita a permissão somente aos balanceadores de carga recém-criados, aos grupos de destino, às regras e aos receptores criados. Essa permissão não permite que sejam adicionadas tags a qualquer recurso já criado do Elastic Load Balancing. 4 de janeiro de 2023

O Amazon ECS passou a rastrear as alterações

O Amazon ECS passou a rastrear as alterações para as políticas gerenciadas da AWS.

8 de junho de 2021