Exemplos de políticas baseadas em identidade do Amazon Elastic Container Service
Por padrão, os usuários e perfis não têm permissão para criar ou modificar recursos do Amazon ECS. Eles também não podem executar tarefas usando o AWS Management Console, a AWS Command Line Interface (AWS CLI) ou a API AWS. Para conceder aos usuários permissão para executar ações nos recursos de que precisam, um administrador do IAM pode criar políticas do IAM. O administrador pode então adicionar as políticas do IAM aos perfis e os usuários podem presumir os perfis.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documento de política JSON, consulte Criação de políticas do IAM no Guia do Usuário do IAM.
Para obter detalhes sobre ações e tipos de recurso definidos pelo Amazon ECS, inclusive o formato dos ARNs para cada um dos tipos de recurso, consulte Ações, recursos e chaves de condição do Amazon Elastic Container Service na Referência de autorização do serviço.
Tópicos
- Práticas recomendadas de políticas do Amazon ECS
- Permissões para que usuários do Amazon ECS visualizem as próprias permissões
- Exemplos de clusters do Amazon ECS
- Exemplos de instância de contêiner do Amazon ECS
- Exemplos de definição de tarefa do Amazon ECS
- Exemplo de tarefa de execução do Amazon ECS
- Exemplo de tarefa de inicialização do Amazon ECS
- Listar e descrever exemplos de tarefas do Amazon ECS
- Exemplo de criação de serviço do Amazon ECS
- Exemplo de serviço de atualização do Amazon ECS
- Descrever serviços do Amazon ECS com base em etiquetas
- Exemplo de negação da substituição de namespace do Service Connect do Amazon ECS
Práticas recomendadas de políticas do Amazon ECS
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon ECS em sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
-
Comece com as políticas gerenciadas pela AWS e avance para as permissões de privilégio mínimo –- para começar a conceder permissões a seus usuários e workloads, use as políticas gerenciadas pela AWS, que concedem permissões para muitos casos de uso comuns. Elas estão disponíveis em seus Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente AWS específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pela AWS ou Políticas gerenciadas pela AWS para funções de trabalho no Guia do Usuário do IAM.
-
Aplique permissões de privilégio mínimo –- ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre como usar o IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do Usuário do IAM.
-
Use condições nas políticas do IAM para restringir ainda mais o acesso –- você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode gravar uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso a ações de serviço, se elas forem usadas por meio de um Serviço da AWS específico, como o AWS CloudFormation. Para obter mais informações, consulte Elementos da política JSON do IAM: Condição no Guia do usuário do IAM.
-
Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais –- o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de 100 verificações de política e recomendações acionáveis para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação de políticas do IAM Access Analyzer no Guia do Usuário do IAM.
-
Exigir autenticação multifator (MFA) –- se houver um cenário que exija usuários do IAM ou um usuário raiz em sua Conta da AWS, ative a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para obter mais informações, consulte Configuração de acesso à API protegido por MFA no Guia do Usuário do IAM.
Para obter mais informações sobre as práticas recomendadas do IAM, consulte Práticas Recomendadas de Segurança no IAM no Guia do Usuário do IAM.
Permissões para que usuários do Amazon ECS visualizem as próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou de forma programática usando a AWS CLI ou a AWS API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Exemplos de clusters do Amazon ECS
A política do IAM a seguir possibilita que a permissão crie e liste clusters. Como as ações CreateCluster e ListClusters não aceitam recursos, a definição de recurso é definida como * para todos os recursos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:ListClusters" ], "Resource": ["*"] } ] }
A política do IAM a seguir possibilita que a permissão descreva e exclua um cluster específico. As ações DescribeClusters e DeleteCluster aceitam os ARNs de cluster como recursos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeClusters", "ecs:DeleteCluster" ], "Resource": ["arn:aws:ecs:us-east-1:<aws_account_id>:cluster/<cluster_name>"] } ] }
A política do IAM a seguir pode ser anexada a um usuário ou grupo que só permitiria que esse usuário ou grupo realizasse operações em um cluster específico.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:Describe*", "ecs:List*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ecs:DeleteCluster", "ecs:DeregisterContainerInstance", "ecs:ListContainerInstances", "ecs:RegisterContainerInstance", "ecs:SubmitContainerStateChange", "ecs:SubmitTaskStateChange" ], "Effect": "Allow", "Resource": "arn:aws:ecs:us-east-1:<aws_account_id>:cluster/default" }, { "Action": [ "ecs:DescribeContainerInstances", "ecs:DescribeTasks", "ecs:ListTasks", "ecs:UpdateContainerAgent", "ecs:StartTask", "ecs:StopTask", "ecs:RunTask" ], "Effect": "Allow", "Resource": "*", "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:us-east-1:<aws_account_id>:cluster/default"} } } ] }
Exemplos de instância de contêiner do Amazon ECS
O registro da instância de contêiner é processado pelo agente do Amazon ECS, mas pode haver momentos em que você queira permitir que um usuário cancele o registro de uma instância manualmente em um cluster. Talvez a instância de contêiner tenha sido registrada acidentalmente no cluster errado, ou a instância tenha sido encerrada com tarefas ainda em execução.
A política do IAM a seguir permite que um usuário liste e cancele o registro de instâncias de contêiner em um cluster especificado:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterContainerInstance", "ecs:ListContainerInstances" ], "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"] } ] }
A política do IAM a seguir permite que um usuário descreva uma instância de contêiner especificada em um determinado cluster. Para abrir essa permissão a todas as instâncias de contêiner em um cluster, você pode substituir a UUID da instância de contêiner por *.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:DescribeContainerInstances"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:container-instance/<cluster_name>/<container_instance_UUID>"] } ] }
Exemplos de definição de tarefa do Amazon ECS
As políticas do IAM de definição de tarefa não dão suporte a permissões no nível do recurso, mas a política do IAM a seguir permite que um usuário registre, liste e descreva definições de tarefa.
Se você usar o console, será necessário adicionar CloudFormation: CreateStack como uma Action.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RegisterTaskDefinition", "ecs:ListTaskDefinitions", "ecs:DescribeTaskDefinition" ], "Resource": ["*"] } ] }
Exemplo de tarefa de execução do Amazon ECS
Os recursos de RunTask são definições de tarefa. Para limitar em quais clusters um usuário pode executar definições de tarefa, você pode especificá-los no bloco Condition. A vantagem é que você não precisa listar definições de tarefa e clusters nos recursos para permitir o acesso apropriado. É possível aplicar um, o outro ou ambos.
A política do IAM a seguir permite a execução de qualquer revisão de uma definição de tarefa específica em um cluster específico:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:RunTask"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:task-definition/<task_family>:*"] } ] }
Exemplo de tarefa de inicialização do Amazon ECS
Os recursos de StartTask são definições de tarefa. Para limitar em quais clusters e instâncias de contêiner um usuário pode iniciar definições de tarefa, você pode especificá-los no bloco Condition. A vantagem é que você não precisa listar definições de tarefa e clusters nos recursos para permitir o acesso apropriado. É possível aplicar um, o outro ou ambos.
A política do IAM a seguir permite o início de qualquer revisão de uma definição de tarefa específica em um cluster específico e uma instância de contêiner específica.
nota
Para este exemplo, quando você chama a API StartTask com a AWS CLI ou outro AWS SDK, você deve especificar a revisão de definição de tarefa para que o mapeamento de Resource seja correspondente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:StartTask"], "Condition": { "ArnEquals": { "ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>", "ecs:container-instances": ["arn:aws:ecs:<region>:<aws_account_id>:container-instance/<cluster_name>/<container_instance_UUID>"] } }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:task-definition/<task_family>:*"] } ] }
Listar e descrever exemplos de tarefas do Amazon ECS
A política do IAM a seguir permite que um usuário liste tarefas para um cluster especificado:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:ListTasks"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"] } ] }
A política do IAM a seguir permite que um usuário descreva uma tarefa especificada em um cluster especificado:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:DescribeTasks"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:task/<cluster_name>/<task_UUID>"] } ] }
Exemplo de criação de serviço do Amazon ECS
A política do IAM a seguir permite que um usuário crie serviços do Amazon ECS no AWS Management Console:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:Describe*", "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "ecs:List*", "ecs:Describe*", "ecs:CreateService", "elasticloadbalancing:Describe*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRoles", "iam:ListGroups", "iam:ListUsers" ], "Resource": ["*"] } ] }
Exemplo de serviço de atualização do Amazon ECS
A política do IAM a seguir permite que um usuário atualize serviços do Amazon ECS no AWS Management Console:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:Describe*", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:RegisterScalableTarget", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "ecs:List*", "ecs:Describe*", "ecs:UpdateService", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRoles", "iam:ListGroups", "iam:ListUsers" ], "Resource": ["*"] } ] }
Descrever serviços do Amazon ECS com base em etiquetas
É possível usar condições em sua política baseada em identidade para controlar o acesso aos recursos do Amazon ECS com base em etiquetas. Este exemplo mostra como você pode criar uma política que permite descrever seus serviços. No entanto, a permissão será concedida somente se a tag Owner tiver o valor do nome desse usuário. Essa política também concede as permissões necessárias concluir essa ação no console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeServices", "Effect": "Allow", "Action": "ecs:DescribeServices", "Resource": "*" }, { "Sid": "ViewServiceIfOwner", "Effect": "Allow", "Action": "ecs:DescribeServices", "Resource": "arn:aws:ecs:*:*:service/*", "Condition": { "StringEquals": {"ecs:ResourceTag/Owner": "${aws:username}"} } } ] }
É possível anexar essa política aos usuários do IAM na sua conta. Se um usuário denominado richard-roe tentar descrever um serviço do Amazon ECS, o serviço deverá ser marcado Owner=richard-roe ou owner=richard-roe. Caso contrário, ele terá o acesso negado. A chave da tag de condição Owner corresponde a Owner e a owner porque os nomes das chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte IAM JSON Policy Elements: Condition (Elementos da política JSON do IAM: Condição) no Guia do usuário do IAM.
Exemplo de negação da substituição de namespace do Service Connect do Amazon ECS
A política do IAM a seguir nega que um usuário substitua o namespace padrão do Service Connect em uma configuração de serviço. O namespace padrão é definido no cluster. Entretanto, é possível substituí-lo em uma configuração de serviço. Para manter a consistência, você pode definir todos os seus novos serviços para usar o mesmo namespace. Use as seguintes chaves de contexto para exigir que os serviços usem um namespace específico. Substitua <region>, <aws_account_id>, <cluster_name> e <namespace_id> no seguinte exemplo pelos seus próprios.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:CreateService", "ecs:UpdateService" ], "Condition": { "ArnEquals": { "ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>", "ecs:namespace": "arn:aws:servicediscovery:<region>:<aws_account_id>:namespace/<namespace_id>" } }, "Resource": "*" } ] }
