Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erforderliche Berechtigungen für die Amazon-ECS-Konsole
Nach den bewährten Methoden zur Erteilung von geringsten Privilegien können Sie die von `AmazonECS_FullAccess` verwaltete Richtlinie als Vorlage zum Erstellen eigener benutzerdefinierter Richtlinien verwenden. Auf diese Weise können Sie Berechtigungen zu und aus der verwalteten Richtlinie basierend auf Ihren spezifischen Anforderungen entfernen oder hinzufügen. *Weitere Informationen finden Sie unter [AmazonECS\$1 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) in der AWS Managed Policy Reference.*
## Berechtigungen für die Erstellung von IAM-Rollen
Für die folgenden Aktionen sind zusätzliche Berechtigungen erforderlich, um den Vorgang abzuschließen:
+ Registrieren einer externen Instance – weitere Informationen finden Sie unter [IAM-Rolle für Amazon ECS Anywhere](iam-role-ecsanywhere.md)
+ Registrieren einer Aufgabendefinition – für weitere Informationen erhalten Sie unter [IAM-Rolle für die Amazon-ECS-Aufgabenausführung](task_execution_IAM_role.md)
+ Eine EventBridge Regel zur Planung von Aufgaben erstellen — weitere Informationen finden Sie unter [Amazon ECS EventBridge IAM-Rolle](CWE_IAM_role.md)
Sie können diese Berechtigungen hinzufügen, indem Sie eine Rolle in IAM erstellen, bevor Sie sie in der Amazon-ECS-Konsole verwenden. Wenn Sie die Rollen nicht erstellen, erstellt die Amazon-ECS-Konsole sie in Ihrem Namen.
## Erforderliche IAM-Berechtigungen zum Registrieren einer externen Instance in einem Cluster
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine externe Instance in einem Cluster registrieren und eine neue externe Instance-Rolle (`ecsExternalInstanceRole`) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
+ `iam` – Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien zu erstellen und aufzulisten.
+ ich bin: AttachRolePolicy
+ ich bin: CreateRole
+ bin: CreateInstanceProfile
+ ich bin: AddRoleToInstanceProfile
+ ich bin: ListInstanceProfilesForRole
+ ich bin: GetRole
+ `ssm` – Ermöglicht es Prinzipalen, die externe Instance bei Systems Manager zu registrieren.
**Anmerkung**
Um eine vorhandene `ecsExternalInstanceRole` auswählen zu können, benötigen Sie die Berechtigungen `iam:GetRole` und `iam:PassRole`.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die `ecsExternalInstanceRole`-Rolle.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:ListInstanceProfilesForRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole","ssm:CreateActivation"],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
}
]
}
```
------
## Erforderliche Berechtigungen zum Registrieren einer Aufgabendefinition
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine Aufgabendefinition registrieren und eine neue Aufgabenausführungsrolle (`ecsTaskExecutionRole`) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
+ `iam` – Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien zu erstellen und aufzulisten.
+ ich bin: AttachRolePolicy
+ ich bin: CreateRole
+ ich bin: GetRole
**Anmerkung**
Um eine vorhandene `ecsTaskExecutionRole` auswählen zu können, benötigen Sie die Berechtigung `iam:GetRole`.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die `ecsTaskExecutionRole`-Rolle.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
}
]
}
```
------
## Erforderliche Berechtigungen für die Verwendung von Amazon Q Developer zur Bereitstellung von Empfehlungen in der Konsole
Damit Amazon Q Developer Empfehlungen in der Amazon-ECS-Konsole bereitstellt, müssen Sie die richtigen IAM-Berechtigungen für Ihren IAM-Benutzer oder Ihre IAM-Rolle aktivieren. Sie müssen die Berechtigung `codewhisperer:GenerateRecommendations` hinzufügen.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperPermissions",
"Effect": "Allow",
"Action": ["codewhisperer:GenerateRecommendations"],
"Resource": "*"
}
]
}
```
------
Um den Inline-Chat in der Amazon-ECS-Konsole zu verwenden, müssen Sie die richtigen IAM-Berechtigungen für Ihren IAM-Benutzer oder Ihre IAM-Rolle aktivieren. Sie müssen die Berechtigung `q:SendMessage` hinzufügen.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperInlineChatPermissions",
"Effect": "Allow",
"Action": ["q:SendMessage"],
"Resource": "*"
}
]
}
```
------
## Für die Erstellung einer EventBridge Regel für geplante Aufgaben sind Berechtigungen erforderlich
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine Aufgabe planen und eine neue Rolle der Rolle CloudWatch Ereignisse (`ecsEventsRole`) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
+ `iam` – Ermöglicht es Prinzipalen, IAM-Rollen und die zugehörigen Richtlinien zu erstellen und aufzulisten und es Amazon ECS zu ermöglichen, die Rolle an andere Services weiterzugeben, damit diese Rolle übernommen wird.
**Anmerkung**
Um eine vorhandene `ecsEventsRole` auswählen zu können, benötigen Sie die Berechtigungen `iam:GetRole` und `iam:PassRole`.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die `ecsEventsRole`-Rolle.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/ecsEventsRole"
}
]
}
```
------
## Die erforderlichen Berechtigungen Für die Anzeige von Servicebereitstellungen
Wenn Sie die bewährte Methode der geringsten Berechtigung befolgen, müssen Sie zusätzliche Berechtigungen hinzufügen, um Servicebereitstellungen in der Konsole anzuzeigen.
Sie benötigen Zugriff auf die folgenden Aktionen:
+ ListServiceDeployments
+ DescribeServiceDeployments
+ DescribeServiceRevisions
Sie benötigen Zugriff auf die folgenden Ressourcen:
+ Service
+ Servicebereitstellung
+ Service-Version
Die folgende Beispielsrichtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf einen bestimmten Service.
Ersetzen Sie `account`, `cluster-name` und `service-name` durch Ihre eigenen Werte.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ListServiceDeployments",
"ecs:DescribeServiceDeployments",
"ecs:DescribeServiceRevisions"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
"arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
"arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
]
}
]
}
```
------
## Erforderliche Berechtigungen zum Anzeigen von Lebenszyklusereignissen von Amazon ECS in Container Insights
Die folgenden Berechtigungen sind erforderlich, um die Lebenszyklusereignisse anzuzeigen. Fügen Sie die folgenden Berechtigungen als Inline-Richtlinie zur Rolle hinzu. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
+ Ereignisse: DescribeRule
+ Ereignisse: ListTargetsByRule
+ Protokolle: DescribeLogGroups
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule",
"logs:DescribeLogGroups"
],
"Resource": "*"
}
]
}
```
------
## Erforderliche Berechtigungen zum Aktivieren von Amazon-ECS-Lebenszyklusereignissen in Container Insights
Die folgenden Berechtigungen sind erforderlich, um die Lebenszyklusereignisse zu konfigurieren:
+ Ereignisse: PutRule
+ Ereignisse: PutTargets
+ Protokolle: CreateLogGroup
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets",
"logs:CreateLogGroup"
],
"Resource": "*"
}
]
}
```
------
# Erforderliche Berechtigungen für die Amazon ECS-Konsole mit CloudFormation
Bevor Sie die AWS-Managementkonsole zum Erstellen Ihrer Ressourcen verwenden, müssen Sie sicherstellen, dass Sie über die richtigen IAM-Berechtigungen verfügen. Informationen dazu, wie Sie zunächst allgemeine Berechtigungen für die Amazon-ECS-Konsole einrichten, finden Sie unter [Erforderliche Berechtigungen für die Amazon-ECS-Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/console-permissions.html).
Die Amazon ECS-Konsole wird betrieben von AWS CloudFormation und benötigt in den folgenden Fällen zusätzliche IAM-Berechtigungen:
+ Einen Cluster erstellen
+ Erstellen eines Service
+ Erstellen eines Kapazitätsanbieters
Sie können eine Richtlinie für die zusätzlichen Berechtigungen erstellen und sie dann der IAM-Rolle zuordnen, die Sie für den Zugriff auf die Konsole verwenden. Weitere Informationen finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*.
## Erforderliche Berechtigungen zum Erstellen eines Clusters
Wenn Sie einen Cluster in der Konsole erstellen, benötigen Sie zusätzliche Berechtigungen, die Ihnen Berechtigungen zur Verwaltung von CloudFormation Stacks gewähren.
Die folgende zusätzliche Berechtigung ist erforderlich:
+ `cloudformation`: Ermöglicht Prinzipalen das Erstellen und Verwalten von CloudFormation -Stapeln. Dies ist erforderlich, wenn Sie Amazon-ECS-Cluster mit AWS-Managementkonsole erstellen und anschließend dieser Cluster verwalten.
+ `ssm`— Ermöglicht das CloudFormation Verweisen auf das neueste Amazon ECS-optimierte AMI. Dies ist erforderlich, wenn Sie Amazon ECS-Cluster mit dem erstellen AWS-Managementkonsole.
Die folgende Richtlinie enthält die erforderlichen CloudFormation Berechtigungen und beschränkt die Aktionen auf Ressourcen, die in der Amazon ECS-Konsole erstellt wurden.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStack*",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*"
]
},
{
"Effect": "Allow",
"Action": "ssm:GetParameters",
"Resource": [
"arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2*/*",
"arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2023*/*"
]
}
]
}
```
------
Wenn Sie die Container-Instance-Rolle (`ecsInstanceRole`) von Amazon ECS nicht erstellt haben und einen Cluster erstellen, der Amazon-EC2-Instances verwendet, erstellt die Konsole die Rolle in Ihrem Namen.
Wenn Sie Auto-Scaling-Gruppen verwenden, benötigen Sie außerdem zusätzliche Berechtigungen, damit die Konsole den Auto-Scaling-Gruppen Tags hinzufügen kann, wenn Sie das Cluster-Auto-Scaling-Feature verwenden.
Die folgende zusätzliche Berechtigung ist erforderlich:
+ `autoscaling` – Ermöglicht es der Konsole, eine Amazon-EC2-Auto-Scaling-Gruppe mit einem Tag zu versehen. Dies ist erforderlich, wenn Amazon-EC2-Auto-Scaling-Gruppen bei der Verwendung des Features für das Auto Scaling von Clustern verwaltet werden. Das Tag ist das von ECS Managed Tag, das die Konsole der Gruppe automatisch hinzufügt, um anzuzeigen, dass es in der Konsole erstellt wurde.
+ `iam`: Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien aufzulisten. Prinzipale können auch Instance-Profile auflisten, die für Ihre Amazon-EC2-Instances verfügbar sind.
Die folgende Richtlinie enthält die erforderlichen IAM-Berechtigungen und beschränkt die Aktionen auf die `ecsInstanceRole`-Rolle.
Die Auto-Scaling-Berechtigungen sind nicht begrenzt.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:ListInstanceProfilesForRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsInstanceRole"
},
{
"Effect": "Allow",
"Action": "autoscaling:CreateOrUpdateTags",
"Resource": "*"
}
]
}
```
------
## Erforderliche Berechtigungen zum Erstellen eines Services
Wenn Sie einen Service in der Konsole erstellen, benötigen Sie zusätzliche Berechtigungen, die Ihnen Berechtigungen zur Verwaltung von CloudFormation Stacks gewähren. Die folgende zusätzliche Berechtigung ist erforderlich:
+ `cloudformation`: Ermöglicht Prinzipalen das Erstellen und Verwalten von CloudFormation -Stapeln. Dies ist für die Erstellung und anschließende Verwaltung von Amazon-ECS-Services mit der AWS-Managementkonsole erforderlich.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf Ressourcen, die in der Amazon-ECS-Konsole erstellt wurden.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStack*",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*"
]
}
]
}
```
------