As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição do Amazon Elastic Container Service
O Amazon Elastic Container Service (prefixo do serviço: ecs
) fornece os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo Amazon Elastic Container Service
Você pode especificar as seguintes ações no elemento Action
de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource
de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource
em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition
da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
---|---|---|---|---|---|
CreateCapacityProvider | Concede permissão para criar um provedor de capacidade. Os provedores de capacidade estão associados a um cluster do Amazon ECS e são usados em estratégias de provedor de capacidade para facilitar a autoescalabilidade do cluster. | Write | |||
CreateCluster | Concede permissão para criar um cluster do Amazon ECS. | Write | |||
CreateService | Concede permissão para executar e manter o número desejado de tarefas a partir de uma definição de tarefa especificada pela criação do serviço. | Write | |||
CreateTaskSet | Concede permissão para criar um conjunto de tarefas do Amazon ECS. | Write | |||
DeleteAccountSetting | Concede permissão para modificar o formato do ARN e do ID do recurso de um usuário ou uma função especificada do IAM ou do usuário raiz de uma conta. É possível especificar se o novo formato do ARN e do ID do recurso será desabilitado para recursos criados. | Write | |||
DeleteAttributes | Concede permissão para excluir um ou mais atributos personalizados de um recurso do Amazon ECS. | Write | |||
DeleteCapacityProvider | Concede permissão para excluir o provedor de capacidade especificado. | Write | |||
DeleteCluster | Concede permissão para excluir o cluster especificado. | Write | |||
DeleteService | Concede permissão para excluir um serviço especificado de um cluster. | Escrever | |||
DeleteTaskDefinitions | Concede permissão para excluir as definições de tarefa especificadas pela família e pela revisão | Escrever | |||
DeleteTaskSet | Concede permissão para excluir o conjunto de tarefas especificado. | Write | |||
DeregisterContainerInstance | Concede permissão para cancelar o registro de uma instância de contêiner do Amazon ECS do cluster especificado. | Write | |||
DeregisterTaskDefinition | Concede permissão para cancelar o registro da definição de tarefa especificada pela família e pela revisão. | Write | |||
DescribeCapacityProviders | Concede permissão para descrever um ou mais provedores de capacidade do Amazon ECS. | Read | |||
DescribeClusters | Concede permissão para descrever um ou mais clusters. | Read | |||
DescribeContainerInstances | Concede permissão para descrever instâncias de contêiner do Amazon ECS. | Read | |||
DescribeServices | Concede permissão para descrever os serviços especificados em execução no cluster. | Read | |||
DescribeTaskDefinition | Concede permissão para descrever uma definição de tarefa. Você pode especificar uma família e uma revisão para localizar informações sobre uma definição de tarefa específica ou simplesmente especificar a família para localizar a revisão ACTIVE (ATIVA) mais recente da família. | Read | |||
DescribeTaskSets | Concede permissão para descrever conjuntos de tarefas do Amazon ECS. | Read | |||
DescribeTasks | Concede permissão para descrever uma ou mais tarefas especificadas. | Read | |||
DiscoverPollEndpoint | Concede permissão para obter um endpoint do agente do Amazon ECS para pesquisar atualizações. | Write | |||
ExecuteCommand | Concede permissão para executar um comando remotamente em um contêiner do Amazon ECS. | Escrever | |||
GetTaskProtection | Concede permissão para recuperar o status de proteção de tarefas em um serviço do Amazon ECS | Leitura | |||
ListAccountSettings | Concede permissão para listar as configurações da conta de um recurso do Amazon ECS para uma entidade principal especificada. | Read | |||
ListAttributes | Concede permissão para listar os atributos dos recursos do Amazon ECS dentro de um tipo de destino e cluster especificados. | List | |||
ListClusters | Concede permissão para obter uma lista dos clusters existentes. | List | |||
ListContainerInstances | Concede permissão para obter uma lista das instâncias de contêiner de um cluster especificado. | List | |||
ListServices | Concede permissão para obter uma lista dos serviços que estão sendo executados em um cluster especificado. | Lista | |||
ListServicesByNamespace | Concede permissão para obter uma lista de serviços que estão sendo executados em um namespace de Nuvem AWS mapa especificado | Lista | |||
ListTagsForResource | Concede permissão para obter uma lista das etiquetas do recurso especificado. | Read | |||
ListTaskDefinitionFamilies | Concede permissão para obter uma lista das famílias de definições de tarefa registradas na conta, o que pode incluir famílias que não têm mais definições ACTIVE (ATIVAS). | List | |||
ListTaskDefinitions | Concede permissão para obter uma lista das definições de tarefa registradas na conta. | List | |||
ListTasks | Concede permissão para obter uma lista das tarefas de um cluster especificado. | List | |||
Poll [somente permissão] | Concede permissão a um agente para ele se conectar ao Amazon ECS para relatar status e obter comandos. | Write | |||
PutAccountSetting | Concede permissão para modificar o formato do ARN e do ID do recurso de um usuário ou uma função especificada do IAM ou do usuário raiz de uma conta. É possível especificar se os novos formatos de ARN e ID de recurso estão habilitados para novos recursos criados. É necessário habilitar essa configuração para usar os novos recursos do Amazon ECS, como a marcação de recursos. | Write | |||
PutAccountSettingDefault | Concede permissão para modificar o formato do ARN e do ID de um tipo de recurso para todos os usuários do IAM em uma conta para a qual nenhuma configuração de conta individual foi definida. É necessário habilitar essa configuração para usar os novos recursos do Amazon ECS, como a marcação de recursos. | Write | |||
PutAttributes | Concede permissão para criar ou atualizar um atributo em um recurso do Amazon ECS. | Write | |||
PutClusterCapacityProviders | Concede permissão para modificar os provedores de capacidade disponíveis e a estratégia-padrão de provedor de capacidade de um cluster. | Write | |||
RegisterContainerInstance | Concede permissão para registrar uma instância do EC2 no cluster especificado. | Write | |||
RegisterTaskDefinition | Concede permissão para registrar uma nova definição de tarefa da família fornecida e do containerDefinitions. | Write | |||
RunTask | Concede permissão para iniciar uma tarefa usando posicionamento aleatório e o programador-padrão do Amazon ECS. | Write |
iam:PassRole |
||
StartTask | Concede permissão para iniciar uma nova tarefa a partir da definição de tarefa especificada na instância ou instâncias de contêiner especificadas. | Write |
iam:PassRole |
||
StartTelemetrySession | Concede permissão para iniciar uma sessão de telemetria. | Write | |||
StopTask | Concede permissão para interromper uma tarefa em execução. | Write | |||
SubmitAttachmentStateChanges | Concede permissão para enviar uma confirmação de que os anexos mudaram de estado. | Write | |||
SubmitContainerStateChange | Concede permissão para enviar uma confirmação de que um contêiner mudou de estado. | Write | |||
SubmitTaskStateChange | Concede permissão para enviar uma confirmação de que uma tarefa mudou de estado. | Write | |||
TagResource | Concede permissão para marcar o recurso especificado | Marcação | |||
UntagResource | Concede permissão para desmarcar o recurso especificado | Marcação | |||
UpdateCapacityProvider | Concede permissão para atualizar o provedor de capacidade especificado. | Write | |||
UpdateCluster | Concede permissão para modificar a configuração ou as configurações a serem usadas em um cluster. | Write | |||
UpdateClusterSettings | Concede permissão para modificar as configurações a serem usadas em um cluster. | Write | |||
UpdateContainerAgent | Concede permissão para atualizar o agente de contêiner do Amazon ECS em uma instância de contêiner especificada. | Write | |||
UpdateContainerInstancesState | Concede ao usuário permissão para modificar o status de uma instância de contêiner do Amazon ECS. | Write | |||
UpdateService | Concede permissão para modificar os parâmetros de um serviço. | Write | |||
UpdateServicePrimaryTaskSet | Concede permissão para modificar o conjunto de tarefas primário usado em um serviço. | Escrever | |||
UpdateTaskProtection | Concede permissão para modificar o status de proteção de uma tarefa | Escrever | |||
UpdateTaskSet | Concede permissão para atualizar o conjunto de tarefas especificado. | Write | |||
Tipos de recursos definidos pelo Amazon Elastic Container Service
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource
de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
Tipos de recursos | ARN | Chaves de condição |
---|---|---|
cluster |
arn:${Partition}:ecs:${Region}:${Account}:cluster/${ClusterName}
|
|
container-instance |
arn:${Partition}:ecs:${Region}:${Account}:container-instance/${ClusterName}/${ContainerInstanceId}
|
|
service |
arn:${Partition}:ecs:${Region}:${Account}:service/${ClusterName}/${ServiceName}
|
|
task |
arn:${Partition}:ecs:${Region}:${Account}:task/${ClusterName}/${TaskId}
|
|
task-definition |
arn:${Partition}:ecs:${Region}:${Account}:task-definition/${TaskDefinitionFamilyName}:${TaskDefinitionRevisionNumber}
|
|
capacity-provider |
arn:${Partition}:ecs:${Region}:${Account}:capacity-provider/${CapacityProviderName}
|
|
task-set |
arn:${Partition}:ecs:${Region}:${Account}:task-set/${ClusterName}/${ServiceName}/${TaskSetId}
|
Chaves de condição do Amazon Elastic Container Service
O Amazon Elastic Container Service define as seguintes chaves de condição que podem ser usadas no elemento Condition
de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
Chaves de condição | Descrição | Tipo |
---|---|---|
aws:RequestTag/${TagKey} | Filtra o acesso pelas etiquetas que são transmitidas na solicitação | String |
aws:ResourceTag/${TagKey} | Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso | String |
aws:TagKeys | Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação | ArrayOfCadeia |
ecs:CreateAction | Filtra o acesso pelo nome de uma ação de API de criação de recurso | String |
ecs:ResourceTag/${TagKey} | Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso | String |
ecs:account-setting | Filtra o acesso com base no nome de configuração da conta do Amazon ECS | String |
ecs:capacity-provider | Filtra o acesso pelo ARN de um provedor de capacidade do Amazon ECS | ARN |
ecs:cluster | Filtra o acesso pelo ARN de um cluster do Amazon ECS | ARN |
ecs:container-instances | Filtra o acesso pelo ARN de uma instância de contêiner do Amazon ECS | ARN |
ecs:container-name | Filtra o acesso pelo nome de um contêiner do Amazon ECS especificado na definição de tarefa do ECS. | String |
ecs:enable-ebs-volumes | Filtra o acesso pela capacidade de volume do Amazon EBS gerenciada pelo Amazon ECS de sua tarefa ou serviço do ECS | String |
ecs:enable-execute-command | Filtra o acesso pelo recurso execute-command da tarefa ou do serviço do Amazon ECS | String |
ecs:enable-service-connect | Filtra o acesso pelo valor de campo de ativação na configuração do Service Connect | String |
ecs:fargate-ephemeral-storage-kms-key | Filtra o acesso pelo ID da chave AWS KMS fornecido na solicitação | String |
ecs:namespace | Filtra o acesso pelo ARN do namespace Nuvem AWS Map, que é definido na Configuração do Service Connect | ARN |
ecs:service | Filtra o acesso pelo ARN de um serviço do Amazon ECS | ARN |
ecs:task | Filtra o acesso pelo ARN de uma tarefa do Amazon ECS | ARN |
ecs:task-definition | Filtra o acesso pelo ARN de uma definição de tarefa do Amazon ECS | ARN |