本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
遷移至 AmazonECS_FullAccess
受管政策
AmazonEC2ContainerServiceFullAccess
受管 IAM 政策已於 2021 年 1 月 29 日淘汰,以回應具有 iam:passRole
許可的安全調查結果。此許可授予帳戶中的角色對所有資源的存取權,包括憑證。因為政策已逐步淘汰,您無法將政策連接至任何新的群組、使用者或角色。已連接政策的所有群組、使用者或角色都可以繼續使用它。但我們建議您更新群組、使用者或角色,以使用 AmazonECS_FullAccess
受管政策。
AmazonECS_FullAccess
政策授予的許可包括使用 ECS 作為管理員所需的完整許可清單。如果您目前使用不在AmazonEC2ContainerServiceFullAccess
政策中的AmazonECS_FullAccess
政策授予的許可,您可以將它們新增至內嵌政策陳述式。如需詳細資訊,請參閱AWS Amazon Elastic Container Service 的 受管政策。
使用下列步驟來判斷您是否有任何群組、使用者或角色目前正在使用AmazonEC2ContainerServiceFullAccess
受管 IAM 政策。然後,更新它們以分開先前的政策並連接 AmazonECS_FullAccess
政策。
更新群組、使用者或角色以使用 AmazonECS_FullAccess 政策 (AWS Management Console)
-
在 IAM 開啟 https://console.aws.amazon.com/iam/
主控台。 -
在導覽窗格中,選擇 Policies (政策),然後搜尋並選取
AmazonEC2ContainerServiceFullAccess
政策。 -
選擇政策用量索引標籤,顯示目前使用此政策的任何 IAM 角色。
-
針對目前使用
AmazonEC2ContainerServiceFullAccess
政策的每個 IAM 角色,選取角色並使用下列步驟來分離逐步淘汰的政策並連接AmazonECS_FullAccess
政策。-
在許可索引標籤上,選擇 AmazonEC2ContainerServiceFullAccess 政策旁的 X。
-
選擇新增許可。
-
選擇直接連接現有政策,搜尋並選取 AmazonECS_FullAccess 政策,然後選擇下一步:檢閱。
-
檢閱變更,然後選擇 Add permissions (新增許可)。
-
對使用
AmazonEC2ContainerServiceFullAccess
政策的每個群組、使用者或角色重複這些步驟。
-
更新群組、使用者或角色以使用 AmazonECS_FullAccess
政策 (AWS CLI)
-
使用 generate-service-last-accessed-details 命令來產生報告,其中包含上次使用淘汰政策時的詳細資訊。
aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess
輸出範例:
{ "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE" }
-
將上一個輸出的任務 ID 與 搭配使用 get-service-last-accessed-details 命令來擷取服務的上次存取報告。此報告會顯示上次使用淘汰政策之 IAM 實體的 Amazon Resource Name (ARN)。
aws iam get-service-last-accessed-details \ --job-id
32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
-
請使用下列其中一個命令,將
AmazonEC2ContainerServiceFullAccess
政策從群組、使用者或角色中分開。 -
請使用下列其中一個命令,將
AmazonECS_FullAccess
政策連接至群組、使用者或角色。