Amazon ECS 主控台必要的許可 - Amazon Elastic Container Service
建立 IAM 角色的許可將外部執行個體註冊至叢集所需的許可註冊任務定義所需的許可為排程任務建立 EventBridge 規則所需的許可檢視服務部署所需的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon ECS 主控台必要的許可

遵循授予最低權限的最佳實務,您可以使用 AmazonECS_FullAccess 受管政策作為範本,以建立您自己的自訂政策。如此一來,您就可以根據特定需求,從受管政策中取消或新增許可。如需詳細資訊,請參閱 AWS 受管政策參考中的 AmazonECS_FullAccess

建立 IAM 角色的許可

下列動作需要其他許可才能完成操作:

您可以先在 IAM 中建立角色來新增這些許可,然後在 Amazon ECS 主控台中使用這些許可。如果您不建立角色,Amazon ECS 主控台會代表您建立角色。

將外部執行個體註冊至叢集所需的許可

當您將外部執行個體註冊至叢集並想要建立新的外部執行個體 (ecsExternalInstanceRole) 角色時,您需要其他許可。

以下是所需的其他許可:

  • iam - 允許委託人建立並列出 IAM 角色及其連接的政策。

  • ssm – 允許主體使用 Systems Manager 註冊外部執行個體。

注意

若要選擇現有 ecsExternalInstanceRole,您必須擁有 iam:GetRoleiam:PassRole 許可。

下列政策包含必要的許可,並將動作限制為 ecsExternalInstanceRole 角色。

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": ["iam:PassRole","ssm:CreateActivation"],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        }
    ]
}

註冊任務定義所需的許可

當您註冊任務定義並想要建立新的任務執行 (ecsTaskExecutionRole) 角色時,您需要其他許可。

以下是所需的其他許可:

  • iam - 允許委託人建立並列出 IAM 角色及其連接的政策。

注意

若要選擇現有 ecsTaskExecutionRole,您必須擁有 iam:GetRole 許可。

下列政策包含必要的許可,並將動作限制為 ecsTaskExecutionRole 角色。

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
        }
    ]
}

為排程任務建立 EventBridge 規則所需的許可

當您排程任務且想要建立新的 CloudWatch Events (ecsEventsRole) 角色時,您需要其他許可。

以下是所需的其他許可:

  • iam - 允許委託人建立並列出 IAM 角色及其附加政策,並允許 Amazon ECS 將角色傳遞給其他服務以擔任該角色。

注意

若要選擇現有 ecsEventsRole,您必須擁有 iam:GetRoleiam:PassRole 許可。

下列政策包含必要的許可,並將動作限制為 ecsEventsRole 角色。

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole",
              "iam: PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsEventsRole"
        }
    ]
}

檢視服務部署所需的許可

當您遵循授予最低權限的最佳實務時,您需要新增其他許可,才能在 主控台中檢視服務部署。

您需要存取下列動作:

  • ListServiceDeployments

  • DescribeServiceDeployments

  • DescribeServiceRevisions

您需要存取下列資源:

  • 服務

  • 服務部署

  • 服務修訂

下列範例政策包含必要的許可,並將動作限制為指定的服務。

accountcluster-name和 取代service-name為您的值。

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "ecs:ListServiceDeployments",
              "ecs:DescribeServiceDeployments",
              "ecs:DescribeServiceRevisions"
            ],
            "Resource": [
             "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
             "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
             "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
            ]
        }
    ]
}