遷移至 AmazonECS_FullAccess 受管政策

AmazonEC2ContainerServiceFullAccess 受管IAM政策已於 2021 年 1 月 29 日淘汰，以回應具有 iam:passRole 許可的安全調查結果。此許可授予帳戶中的角色對所有資源的存取權，包括憑證。因為政策已逐步淘汰，您無法將政策連接至任何新的群組、使用者或角色。已連接政策的所有群組、使用者或角色都可以繼續使用它。但我們建議您更新群組、使用者或角色，以使用 AmazonECS_FullAccess 受管政策。

AmazonECS_FullAccess 政策授予的許可包括ECS作為管理員使用所需的完整許可清單。如果您目前使用不在AmazonEC2ContainerServiceFullAccess政策中的AmazonECS_FullAccess政策授予的許可，您可以將它們新增至內嵌政策陳述式。如需詳細資訊，請參閱AWS Amazon Elastic Container Service 的 受管政策。

使用下列步驟來判斷您是否有任何群組、使用者或角色目前正在使用 AmazonEC2ContainerServiceFullAccess 受管IAM政策。然後，更新它們以分開先前的政策並連接 AmazonECS_FullAccess 政策。

更新群組、使用者或角色以使用 Amazon ECS_FullAccess policy （AWS Management Console）

1. 在 開啟IAM主控台https://console.aws.amazon.com/iam/。

2. 在導覽窗格中，選擇 Policies (政策)，然後搜尋並選取 AmazonEC2ContainerServiceFullAccess 政策。

3. 選擇政策用量索引標籤，顯示目前使用此政策的任何IAM角色。

4. 針對目前使用AmazonEC2ContainerServiceFullAccess政策的每個IAM角色，選取角色，並使用下列步驟來分離淘汰政策並連接AmazonECS_FullAccess政策。

   1. 在許可索引標籤上，選擇 AmazonEC2ContainerServiceFullAccess 政策旁的 X。

   2. 選擇新增許可。

   3. 選擇直接連接現有政策，搜尋並選取 Amazon ECS_FullAccess 政策，然後選擇下一步：檢閱 。

   4. 檢閱變更，然後選擇 Add permissions (新增許可)。

   5. 對使用 AmazonEC2ContainerServiceFullAccess 政策的每個群組、使用者或角色重複這些步驟。

更新群組、使用者或角色以使用 AmazonECS_FullAccess 政策 (AWS CLI)

1. 使用 generate-service-last-accessed-details 命令來產生報告，其中包含上次使用淘汰政策時的詳細資訊。

   aws iam generate-service-last-accessed-details \
        --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

   輸出範例：

   {
       "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
   }

2. 將上一個輸出的任務 ID 與 搭配使用 get-service-last-accessed-details 命令來擷取服務的上次存取報告。此報告會顯示上次使用淘汰政策之IAM實體的 Amazon Resource Name （ARN）。

   aws iam get-service-last-accessed-details \
         --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE

3. 請使用下列其中一個命令，將 AmazonEC2ContainerServiceFullAccess 政策從群組、使用者或角色中分開。

   • detach-group-policy

   • detach-role-policy

   • detach-user-policy

4. 請使用下列其中一個命令，將 AmazonECS_FullAccess 政策連接至群組、使用者或角色。

   • attach-group-policy

   • attach-role-policy

   • attach-user-policy