迁移到 AmazonECS_FullAccess 托管策略

AmazonEC2ContainerServiceFullAccess 托管 IAM policy 已于 2021 年 1 月 29 日逐步停用，以响应 iam:passRole 权限内的安全问题。此权限授予对所有资源的访问权限，包括账户中角色的凭证。现在该策略已逐步停用，您无法将该策略附加到任何新的组、用户或角色。任何已附加策略的组、用户或角色都可以继续使用它。但是，我们建议您更新组、用户或角色，以使用 AmazonECS_FullAccess 托管策略。

授予的权限由 AmazonECS_FullAccess 策略包括将 ECS 用作管理员所需的完整权限列表。如果您当前使用的由 AmazonEC2ContainerServiceFullAccess 策略授予的权限中不在 AmazonECS_FullAccess 策略中，您可以将其添加到内联策略语句中。有关更多信息，请参阅 Amazon Elastic Container Service AWS 托管策略。

使用以下步骤确定您是否有任何组、用户或角色当前正在使用 AmazonEC2ContainerServiceFullAccess 托管 IAM policy。然后，更新它们以分离早期的策略并附加 AmazonECS_FullAccess 政策。

更新组、用户或角色以使用 AmazonECS_FullAccess 策略 (AWS Management Console)

1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

2. 在导航窗格中，选择策略并搜索并选择 AmazonEC2ContainerServiceFullAccess 政策。

3. 选择策略用法选项卡，显示当前正在使用此策略的任何 IAM 角色。

4. 对于当前使用 AmazonEC2ContainerServiceFullAccess 策略的 IAM 角色，请选择角色，然后使用以下步骤分离逐步停用的策略并附加 AmazonECS_FullAccess 策略。

   1. 在 Permissions (权限)选项卡上，选择 AmazonEC2ContainerServiceFullAccess 策略旁边的 X。

   2. 选择添加权限。

   3. 选择直接附加现有策略中，搜索并选择 AmazonECS_FullAccess 策略，然后选择下一步:审核。

   4. 查看更改，然后选择添加权限。

   5. 对使用 AmazonEC2ContainerServiceFullAccess 策略的每个组、用户或角色重复这些步骤。

更新组、用户或角色以使用 AmazonECS_FullAccess 策略 (AWS CLI)

1. 使用 generate-service-last-accessed-details 命令生成报告，其中包含有关上次使用逐步停用策略时的详细信息。

   aws iam generate-service-last-accessed-details \
        --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

   输出示例：

   {
       "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
   }

2. 将先前输出中的作业 ID 与 get-service-last-accessed-details 命令配合使用以检索服务的上次访问报告。此报告显示上次使用逐步停用策略的 IAM 实体的 Amazon 资源名称（ARN）。

   aws iam get-service-last-accessed-details \
         --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE

3. 使用以下命令之一将 AmazonEC2ContainerServiceFullAccess 策略与组、用户或角色分离。

   • detach-group-policy

   • detach-role-policy

   • detach-user-policy

4. 使用以下命令之一将 AmazonECS_FullAccess 策略附加到组、用户或角色。

   • attach-group-policy

   • attach-role-policy

   • attach-user-policy