AWS Identity and Access Management - Amazon ECS
Gerenciando o acesso ao Amazon ECSRecomendações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Identity and Access Management

Você pode usar o AWS Identity and Access Management (IAM) para gerenciar e controlar o acesso aos seus AWS serviços e recursos por meio de políticas baseadas em regras para fins de autenticação e autorização. Mais especificamente, por meio desse serviço, você controla o acesso aos seus AWS recursos usando políticas aplicadas a usuários, grupos ou funções. Entre esses três, os usuários são contas que podem ter acesso aos seus recursos. Além disso, uma função do IAM é um conjunto de permissões que podem ser assumidas por uma identidade autenticada, que não está associada a uma identidade específica fora do IAM. Para obter mais informações, consulte Visão geral do gerenciamento de acesso: permissões e políticas.

Gerenciando o acesso ao Amazon ECS

Você pode controlar o acesso ao Amazon ECS criando e aplicando políticas do IAM. Essas políticas são compostas por um conjunto de ações que se aplicam a um conjunto específico de recursos. A ação de uma política define a lista de operações (como as APIs do Amazon ECS) que são permitidas ou negadas, enquanto o recurso controla quais são os objetos do Amazon ECS aos quais a ação se aplica. As condições podem ser adicionadas a uma política para restringir seu escopo. Por exemplo, uma política pode ser escrita para permitir que apenas uma ação seja executada em tarefas com um determinado conjunto de tags. Para obter mais informações, consulte Como o Amazon ECS funciona com o IAM no Guia do desenvolvedor do Amazon Elastic Container Service.

Recomendações

Recomendamos que você faça o seguinte ao configurar suas funções e políticas do IAM.

Siga a política de acesso menos privilegiado

Crie políticas com escopo para permitir que os usuários realizem seus trabalhos prescritos. Por exemplo, se um desenvolvedor precisar interromper periodicamente uma tarefa, crie uma política que permita apenas essa ação específica. O exemplo a seguir só permite que um usuário interrompa uma tarefa que pertence a uma determinada tarefa task_family em um cluster com um nome de recurso da Amazon (ARN) específico. Referir-se a um ARN em uma condição também é um exemplo de uso de permissões em nível de recurso. Você pode usar permissões em nível de recurso para especificar o recurso ao qual deseja que uma ação se aplique.

nota

Ao fazer referência a um ARN em uma política, use o novo formato ARN mais longo. Para obter mais informações, consulte Amazon Resource Names (ARNs) e IDs no Amazon Elastic Container Service Developer Guide.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:StopTask"
      ],
      "Condition": {
        "ArnEquals": {
          "ecs:cluster": "arn:aws:ecs:region:account_id:cluster/cluster_name"
        }
      },
      "Resource": [
        "arn:aws:ecs:region:account_id:task-definition/task_family:*"
      ]
    }
  ]
}

Deixe o recurso de cluster servir como limite administrativo

Políticas com escopo muito restrito podem causar uma proliferação de funções e aumentar a sobrecarga administrativa. Em vez de criar funções que tenham como escopo somente tarefas ou serviços específicos, crie funções que tenham como escopo os clusters e use o cluster como seu limite administrativo principal.

Isole os usuários finais da API do Amazon ECS criando pipelines automatizados

Você pode limitar as ações que os usuários podem usar criando pipelines que empacotam e implantam automaticamente aplicativos nos clusters do Amazon ECS. Isso delega efetivamente o trabalho de criar, atualizar e excluir tarefas ao pipeline. Para obter mais informações, consulte o Tutorial: Implantação padrão do Amazon ECS CodePipeline no Guia do AWS CodePipeline usuário.

Use condições de política para uma camada adicional de segurança

Quando precisar de uma camada adicional de segurança, adicione uma condição à sua política. Isso pode ser útil se você estiver executando uma operação privilegiada ou quando precisar restringir o conjunto de ações que podem ser executadas em determinados recursos. O exemplo de política a seguir exige autorização multifatorial ao excluir um cluster.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DeleteCluster"
      ],
      "Condition": {
        "Bool": {
          "aws:MultiFactorAuthPresent": "true"
        }
      },
    "Resource": ["*"]
    }
  ]
}

As tags aplicadas aos serviços são propagadas para todas as tarefas que fazem parte desse serviço. Por isso, você pode criar funções que tenham como escopo os recursos do Amazon ECS com tags específicas. Na política a seguir, um administrador do IAM inicia e interrompe todas as tarefas com uma chave de tag de Department e um valor de tag de. Accounting

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:StartTask",
                "ecs:StopTask",
                "ecs:RunTask"
            ],
            "Resource": "arn:aws:ecs:*",
            "Condition": {
                "StringEquals": {"ecs:ResourceTag/Department": "Accounting"}
            }
        }
    ]
}

Audite periodicamente o acesso às APIs do Amazon ECS

Um usuário pode mudar de função. Depois que eles mudarem de função, as permissões que lhes foram concedidas anteriormente podem não se aplicar mais. Certifique-se de auditar quem tem acesso às APIs do Amazon ECS e se esse acesso ainda é garantido. Considere integrar o IAM a uma solução de gerenciamento do ciclo de vida do usuário que revoga automaticamente o acesso quando um usuário deixa a organização. Para obter mais informações, consulte as diretrizes de auditoria de segurança do Amazon ECS no Referência geral da Amazon Web Services.