本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon ECS主控台所需的許可
遵循授予最低權限的最佳實務,您可以使用 AmazonECS_FullAccess 受管政策作為範本,以建立您自己的自訂政策。如此一來,您就可以根據特定需求,從受管政策中取消或新增許可。如需詳細資訊,請參閱許可詳細資訊。
建立IAM角色的許可
下列動作需要其他許可才能完成操作:
-
註冊外部執行個體 - 如需詳細資訊,請參閱 Amazon ECS Anywhere IAM角色
-
註冊任務定義 - 如需詳細資訊,請參閱 Amazon ECS任務執行IAM角色
-
建立用於排程任務的 EventBridge 規則 - 如需詳細資訊,請參閱 Amazon ECS EventBridge IAM角色
您可以在 Amazon ECS主控台中使用角色IAM之前,在 中建立角色來新增這些許可。如果您未建立角色,Amazon ECS主控台會代表您建立 。
將外部執行個體註冊至叢集所需的許可
當您將外部執行個體註冊至叢集並想要建立新的外部執行個體 (ecsExternalInstanceRole) 角色時,您需要其他許可。
以下是所需的其他許可:
-
iam– 允許主體建立和列出IAM角色及其連接的政策。 -
ssm– 允許主體使用 Systems Manager 註冊外部執行個體。
注意
若要選擇現有 ecsExternalInstanceRole,您必須擁有 iam:GetRole 和 iam:PassRole 許可。
下列政策包含必要的許可,並將動作限制為 ecsExternalInstanceRole 角色。
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" } ] }
註冊任務定義所需的許可
當您註冊任務定義並想要建立新的任務執行 (ecsTaskExecutionRole) 角色時,您需要其他許可。
以下是所需的其他許可:
-
iam– 允許主體建立和列出IAM角色及其連接的政策。
注意
若要選擇現有 ecsTaskExecutionRole,您必須擁有 iam:GetRole 許可。
下列政策包含必要的許可,並將動作限制為 ecsTaskExecutionRole 角色。
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
為排程任務建立 EventBridge 規則所需的許可
當您排程任務並想要建立新的 CloudWatch 事件角色 (ecsEventsRole) 角色時,您需要額外的許可。
以下是所需的其他許可:
-
iam– 允許主體建立和列出IAM角色及其連接政策,並允許 Amazon 將角色ECS傳遞給其他 服務以擔任角色。
注意
若要選擇現有 ecsEventsRole,您必須擁有 iam:GetRole 和 iam:PassRole 許可。
下列政策包含必要的許可,並將動作限制為 ecsEventsRole 角色。
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam: PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
