Amazon ECS 控制台所需的权限 - Amazon Elastic Container Service
创建 IAM 角色的权限将外部实例注册到集群所需的权限注册任务定义所需的权限使用 Amazon Q 开发者版在控制台中提供建议所需的权限为计划任务创建 EventBridge 规则所需的权限查看服务部署所需的权限在 Container Insights 中查看 Amazon ECS 生命周期事件所需的权限在 Container Insights 中启用 Amazon ECS 生命周期事件所需的权限

Amazon ECS 控制台所需的权限

遵循授予最低权限的最佳实践,您可以使用 AmazonECS_FullAccess 托管策略作为创建您自己的自定义策略的模板。这样,您就可以根据您的特定要求取消或添加托管策略的权限。有关更多信息,请参阅《AWS Managed Policy Reference》中的 AmazonECS_FullAccess

创建 IAM 角色的权限

以下操作需要额外的权限才能完成操作:

您可以通过先在 IAM 中创建角色来添加这些权限,然后再在 Amazon ECS 控制台中使用这些权限。如果您没有创建角色,Amazon ECS 控制台将代表您创建角色。

将外部实例注册到集群所需的权限

在向集群注册外部实例并想要创建新的外部实例(ecsExternalInstanceRole)角色时,您需要额外的权限。

需要以下额外权限:

  • iam – 允许主体创建并列出 IAM 角色及其附加的策略。

    • iam:AttachRolePolicy

    • iam:CreateRole

    • am:CreateInstanceProfile

    • iam:AddRoleToInstanceProfile

    • iam:ListInstanceProfilesForRole

    • iam:GetRole

  • ssm – 允许主体向 Systems Manager 注册外部实例。

注意

要选择现有的 ecsExternalInstanceRole,您必须拥有 iam:GetRoleiam:PassRole 权限。

以下策略包含所需的权限,并将操作限制到 ecsExternalInstanceRole 角色。

JSON
{
"Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
          ],
          "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
      },
      {
          "Effect": "Allow",
          "Action": ["iam:PassRole","ssm:CreateActivation"],
          "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
      }
    ]
}

注册任务定义所需的权限

注册任务定义并想要创建新的任务执行(ecsTaskExecutionRole)角色时,您需要额外的权限。

需要以下额外权限:

  • iam – 允许主体创建并列出 IAM 角色及其附加的策略。

    • iam:AttachRolePolicy

    • iam:CreateRole

    • iam:GetRole

注意

要选择现有的 ecsTaskExecutionRole,您必须拥有 iam:GetRole 权限。

以下策略包含所需的权限,并将操作限制到 ecsTaskExecutionRole 角色。

JSON
{
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "iam:AttachRolePolicy",
            "iam:CreateRole",
            "iam:GetRole"
        ],
        "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
        }
    ]
}

使用 Amazon Q 开发者版在控制台中提供建议所需的权限

要让 Amazon Q 开发者版在 Amazon ECS 控制台中提供建议,您必须为您的 IAM 用户或角色启用正确的 IAM 权限。您必须添加 codewhisperer:GenerateRecommendations 权限。

JSON
{
"Statement": [
      {
            "Sid": "AmazonQDeveloperPermissions",
            "Effect": "Allow",
            "Action": ["codewhisperer:GenerateRecommendations"],
            "Resource": "*"
        }
    ]
}

要在 Amazon ECS 控制台中使用内联聊天,您必须为您的 IAM 用户或角色启用正确的 IAM 权限。您必须添加 q:SendMessage 权限。

JSON
{
"Statement": [
    {
        "Sid": "AmazonQDeveloperInlineChatPermissions",
        "Effect": "Allow",
        "Action": ["q:SendMessage"],
        "Resource": "*"
    }
  ]
}

为计划任务创建 EventBridge 规则所需的权限

在计划任务并想要创建新的 CloudWatch Events 角色(ecsEventsRole)角色时,您需要额外的权限。

需要以下额外权限:

  • iam– 允许主体创建和列出 IAM 角色及其附加策略,并允许 Amazon ECS 将角色传递给其他服务以代入该角色。

注意

要选择现有的 ecsEventsRole,您必须拥有 iam:GetRoleiam:PassRole 权限。

以下策略包含所需的权限,并将操作限制到 ecsEventsRole 角色。

JSON
{
 "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "iam:AttachRolePolicy",
            "iam:CreateRole",
            "iam:GetRole",
            "iam:PassRole"
        ],
        "Resource": "arn:aws:iam::*:role/ecsEventsRole"
        }
    ]
}

查看服务部署所需的权限

当您遵循授予最低权限的最佳实践时,需要添加额外的权限,才能在控制台中查看服务部署。

您需要执行以下操作的权限:

  • ListServiceDeployments

  • DescribeServiceDeployments

  • DescribeServiceRevisions

您需要访问以下资源的权限:

  • 服务

  • 服务部署

  • 服务修订

以下示例策略包含所需的权限,并将操作限制到特定服务。

accountcluster-nameservice-name 替换为您的值。

JSON
{
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "ecs:ListServiceDeployments",
            "ecs:DescribeServiceDeployments",
            "ecs:DescribeServiceRevisions"
        ],
        "Resource": [
            "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
            "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
            "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
            ]
        }
   ]
}

在 Container Insights 中查看 Amazon ECS 生命周期事件所需的权限

查看生命周期事件需要以下权限。将以下权限作为内联策略添加到该角色。有关更多信息,请参阅添加和删除 IAM 策略

  • events:DescribeRule

  • events:ListTargetsByRule

  • logs:DescribeLogGroups

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "events:DescribeRule",
        "events:ListTargetsByRule",
        "logs:DescribeLogGroups"
      ],
      "Resource": "*"
    }
  ]
}

在 Container Insights 中启用 Amazon ECS 生命周期事件所需的权限

配置生命周期事件需要以下权限:

  • events:PutRule

  • events:PutTargets

  • logs:CreateLogGroup

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "events:PutRule",
        "events:PutTargets",
        "logs:CreateLogGroup"
      ],
      "Resource": "*"
    }
  ]
}