As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas baseadas em identidade do Amazon Elastic Container Service
Por padrão, os usuários e perfis não têm permissão para criar ou modificar recursos do Amazon ECS. Eles também não podem realizar tarefas usando a AWS API AWS Management Console, AWS Command Line Interface (AWS CLI) ou. Para conceder aos usuários permissões para executar ações nos recursos de que eles precisam, um administrador do IAM pode criar políticas do IAM. O administrador pode então adicionar as políticas do IAM aos perfis, e os usuários podem assumir os perfis.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documento de política JSON, consulte Criação de políticas do IAM no Guia do Usuário do IAM.
Para obter detalhes sobre ações e tipos de recurso definidos pelo Amazon ECS, inclusive o formato dos ARNs para cada um dos tipos de recurso, consulte Ações, recursos e chaves de condição do Amazon Elastic Container Service na Referência de autorização do serviço.
Tópicos
- Práticas recomendadas de políticas
- Permitir que os usuários visualizem suas próprias permissões
- Exemplos de cluster
- Exemplos de instância de contêiner
- Exemplos de definição de tarefa
- Exemplo de execução de tarefa
- Exemplo de tarefa inicial
- Exemplos de listas e descrição de tarefas
- Exemplo de criação de serviço
- Exemplo de atualização de serviço
- Descrever serviços do Amazon ECS com base em etiquetas
- Exemplo de negação da substituição do namespace do Service Connect
Práticas recomendadas de políticas
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon ECS em sua conta. Essas ações podem incorrer em custos para a Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
-
Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pela AWS ou Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.
-
Aplique permissões de privilégio mínimo: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre como usar o IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do usuário do IAM.
-
Use condições nas políticas do IAM para restringir ainda mais o acesso: você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte Elementos de política JSON do IAM: Condition no Guia do usuário do IAM.
-
Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações acionáveis para ajudar você a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação de políticas do IAM Access Analyzer no Guia do usuário do IAM.
-
Exigir autenticação multifator (MFA) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir a MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para obter mais informações, consulte Configuração de acesso à API protegido por MFA no Guia do usuário do IAM.
Para obter mais informações sobre as práticas recomendadas do IAM, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como você pode criar uma política que permite que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Exemplos de cluster
A política do IAM a seguir possibilita que a permissão crie e liste clusters. Como as ações CreateCluster e ListClusters não aceitam recursos, a definição de recurso é definida como * para todos os recursos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:ListClusters" ], "Resource": ["*"] } ] }
A política do IAM a seguir possibilita que a permissão descreva e exclua um cluster específico. As ações DescribeClusters e DeleteCluster aceitam os ARNs de cluster como recursos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeClusters", "ecs:DeleteCluster" ], "Resource": ["arn:aws:ecs:us-east-1:<aws_account_id>:cluster/<cluster_name>"] } ] }
A política do IAM a seguir pode ser anexada a um usuário ou grupo que só permitiria que esse usuário ou grupo realizasse operações em um cluster específico.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:Describe*", "ecs:List*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ecs:DeleteCluster", "ecs:DeregisterContainerInstance", "ecs:ListContainerInstances", "ecs:RegisterContainerInstance", "ecs:SubmitContainerStateChange", "ecs:SubmitTaskStateChange" ], "Effect": "Allow", "Resource": "arn:aws:ecs:us-east-1:<aws_account_id>:cluster/default" }, { "Action": [ "ecs:DescribeContainerInstances", "ecs:DescribeTasks", "ecs:ListTasks", "ecs:UpdateContainerAgent", "ecs:StartTask", "ecs:StopTask", "ecs:RunTask" ], "Effect": "Allow", "Resource": "*", "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:us-east-1:<aws_account_id>:cluster/default"} } } ] }
Exemplos de instância de contêiner
O registro da instância de contêiner é processado pelo agente do Amazon ECS, mas pode haver momentos em que você queira permitir que um usuário cancele o registro de uma instância manualmente em um cluster. Talvez a instância de contêiner tenha sido registrada acidentalmente no cluster errado, ou a instância tenha sido encerrada com tarefas ainda em execução.
A política do IAM a seguir permite que um usuário liste e cancele o registro de instâncias de contêiner em um cluster especificado:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterContainerInstance", "ecs:ListContainerInstances" ], "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"] } ] }
A política do IAM a seguir permite que um usuário descreva uma instância de contêiner especificada em um determinado cluster. Para abrir essa permissão a todas as instâncias de contêiner em um cluster, você pode substituir a UUID da instância de contêiner por *.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:DescribeContainerInstances"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:container-instance/<cluster_name>/<container_instance_UUID>"] } ] }
Exemplos de definição de tarefa
As políticas do IAM de definição de tarefa não dão suporte a permissões no nível do recurso, mas a política do IAM a seguir permite que um usuário registre, liste e descreva definições de tarefa.
Se você usar o console, será necessário adicionar CloudFormation: CreateStack como uma Action.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RegisterTaskDefinition", "ecs:ListTaskDefinitions", "ecs:DescribeTaskDefinition" ], "Resource": ["*"] } ] }
Exemplo de execução de tarefa
Os recursos de RunTask são definições de tarefa. Para limitar em quais clusters um usuário pode executar definições de tarefa, você pode especificá-los no bloco Condition. A vantagem é que você não precisa listar definições de tarefa e clusters nos recursos para permitir o acesso apropriado. É possível aplicar um, o outro ou ambos.
A política do IAM a seguir permite a execução de qualquer revisão de uma definição de tarefa específica em um cluster específico:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:RunTask"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:task-definition/<task_family>:*"] } ] }
Exemplo de tarefa inicial
Os recursos de StartTask são definições de tarefa. Para limitar em quais clusters e instâncias de contêiner um usuário pode iniciar definições de tarefa, você pode especificá-los no bloco Condition. A vantagem é que você não precisa listar definições de tarefa e clusters nos recursos para permitir o acesso apropriado. É possível aplicar um, o outro ou ambos.
A política do IAM a seguir permite o início de qualquer revisão de uma definição de tarefa específica em um cluster específico e uma instância de contêiner específica.
nota
Neste exemplo, ao chamar a StartTask API com o AWS CLI ou outro AWS SDK, você deve especificar a revisão da definição da tarefa para que o Resource mapeamento corresponda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:StartTask"], "Condition": { "ArnEquals": { "ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>", "ecs:container-instances": ["arn:aws:ecs:<region>:<aws_account_id>:container-instance/<cluster_name>/<container_instance_UUID>"] } }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:task-definition/<task_family>:*"] } ] }
Exemplos de listas e descrição de tarefas
A política do IAM a seguir permite que um usuário liste tarefas para um cluster especificado:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:ListTasks"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["*"] } ] }
A política do IAM a seguir permite que um usuário descreva uma tarefa especificada em um cluster especificado:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:DescribeTasks"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:task/<cluster_name>/<task_UUID>"] } ] }
Exemplo de criação de serviço
A política do IAM a seguir permite que um usuário crie serviços do Amazon ECS no AWS Management Console:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:Describe*", "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "ecs:List*", "ecs:Describe*", "ecs:CreateService", "elasticloadbalancing:Describe*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRoles", "iam:ListGroups", "iam:ListUsers" ], "Resource": ["*"] } ] }
Exemplo de atualização de serviço
A política do IAM a seguir permite que um usuário atualize serviços do Amazon ECS no AWS Management Console:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:Describe*", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:RegisterScalableTarget", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "ecs:List*", "ecs:Describe*", "ecs:UpdateService", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRoles", "iam:ListGroups", "iam:ListUsers" ], "Resource": ["*"] } ] }
Descrever serviços do Amazon ECS com base em etiquetas
É possível usar condições em sua política baseada em identidade para controlar o acesso aos recursos do Amazon ECS com base em etiquetas. Este exemplo mostra como você pode criar uma política que permite descrever seus serviços. No entanto, a permissão será concedida somente se a tag Owner tiver o valor do nome desse usuário. Essa política também concede as permissões necessárias concluir essa ação no console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeServices", "Effect": "Allow", "Action": "ecs:DescribeServices", "Resource": "*" }, { "Sid": "ViewServiceIfOwner", "Effect": "Allow", "Action": "ecs:DescribeServices", "Resource": "arn:aws:ecs:*:*:service/*", "Condition": { "StringEquals": {"ecs:ResourceTag/Owner": "${aws:username}"} } } ] }
É possível anexar essa política aos usuários do IAM na sua conta. Se um usuário denominado richard-roe tentar descrever um serviço do Amazon ECS, o serviço deverá ser marcado Owner=richard-roe ou owner=richard-roe. Caso contrário, ele terá o acesso negado. A chave da tag de condição Owner corresponde a Owner e a owner porque os nomes das chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte IAM JSON Policy Elements: Condition (Elementos da política JSON do IAM: Condição) no Guia do usuário do IAM.
Exemplo de negação da substituição do namespace do Service Connect
A política do IAM a seguir nega que um usuário substitua o namespace padrão do Service Connect em uma configuração de serviço. O namespace padrão é definido no cluster. Entretanto, é possível substituí-lo em uma configuração de serviço. Para manter a consistência, você pode definir todos os seus novos serviços para usar o mesmo namespace. Use as seguintes chaves de contexto para exigir que os serviços usem um namespace específico. Substitua <region>, <aws_account_id>, <cluster_name> e <namespace_id> no seguinte exemplo pelos seus próprios.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:CreateService", "ecs:UpdateService" ], "Condition": { "ArnEquals": { "ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>", "ecs:namespace": "arn:aws:servicediscovery:<region>:<aws_account_id>:namespace/<namespace_id>" } }, "Resource": "*" } ] }
