Permisos para crear roles de IAM Permisos necesarios para registrar una instancia externa en un clúster Permisos necesarios para registrar una definición de tarea Permisos necesarios para crear una regla de EventBridge para las tareas programadas Permisos necesarios para ver las implementaciones de servicios

Permisos necesarios para la consola de Amazon ECS

Siguiendo la práctica recomendada de concesión de privilegios mínimos, puede usar la política administrada AmazonECS_FullAccess como plantilla para crear su propia política personalizada. De esta forma, puede quitar permisos de la política administrada o agregar otros en función de sus requisitos específicos. Para obtener más información, consulte AmazonECS_FullAccess en Referencia de políticas administradas de AWS.

Permisos para crear roles de IAM

Las siguientes acciones requieren permisos adicionales para completar la operación:

Registro de una instancia externa; para obtener más información, consulte Rol de IAM de Amazon ECS Anywhere
Registro de una definición de tarea; para obtener más información, consulte Rol de IAM de ejecución de tareas de Amazon ECS
Creación de una regla de EventBridge para utilizarla en la programación de tareas; para obtener más información, consulte Rol de IAM de EventBridge de Amazon ECS

Puede añadir estos permisos creando un rol en IAM antes de usarlos en la consola de Amazon ECS. Si no crea los roles, la consola de Amazon ECS los creará en su nombre.

Permisos necesarios para registrar una instancia externa en un clúster

Necesita permisos adicionales cuando registra una instancia externa en un clúster y desea crear un nuevo rol de instancia externa (ecsExternalInstanceRole).

Se requieren los siguientes permisos adicionales:

iam: permite a los usuarios principales crear y enumerar los roles de IAM y sus políticas asociadas.
ssm: permite a los usuarios principales registrar la instancia externa con Systems Manager.

nota

Para elegir una ecsExternalInstanceRole existente, debe tener los permisos iam:GetRole y iam:PassRole.

La siguiente política contiene los permisos necesarios y limita las acciones al rol ecsExternalInstanceRole.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": ["iam:PassRole","ssm:CreateActivation"],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        }
    ]
}

Permisos necesarios para registrar una definición de tarea

Necesita permisos adicionales cuando registra una definición de tarea y desea crear un nuevo rol de ejecución de tareas (ecsTaskExecutionRole).

Se requieren los siguientes permisos adicionales:

iam: permite a los usuarios principales crear y enumerar los roles de IAM y sus políticas asociadas.

nota

Para elegir una ecsTaskExecutionRole existente, debe tener el permiso iam:GetRole.

La siguiente política contiene los permisos necesarios y limita las acciones al rol ecsTaskExecutionRole.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
        }
    ]
}

Permisos necesarios para crear una regla de EventBridge para las tareas programadas

Necesita permisos adicionales cuando programa una tarea y desea crear un nuevo rol de CloudWatch Events (ecsEventsRole).

Se requieren los siguientes permisos adicionales:

iam: permite a los usuarios principales crear y enumerar los roles de IAM y sus políticas asociadas, y permite a Amazon ECS transferir el rol a otros servicios para que lo asuman.

nota

Para elegir una ecsEventsRole existente, debe tener los permisos iam:GetRole y iam:PassRole.

La siguiente política contiene los permisos necesarios y limita las acciones al rol ecsEventsRole.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole",
              "iam: PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsEventsRole"
        }
    ]
}

Permisos necesarios para ver las implementaciones de servicios

Si sigue la práctica recomendada de concesión de privilegios mínimos, debe agregar más permisos para ver las implementaciones de servicios en la consola.

Debe acceder a las siguientes acciones:

ListServiceDeployments
DescribeServiceDeployments
DescribeServiceRevisions

Debe acceder a los siguientes recursos:

Servicio
Implementación de servicios
Revisión de servicios

La siguiente política de ejemplo contiene los permisos necesarios y limita las acciones a un servicio especificado.

Sustituya account, cluster-name y service-name por sus valores.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "ecs:ListServiceDeployments",
              "ecs:DescribeServiceDeployments",
              "ecs:DescribeServiceRevisions"
            ],
            "Resource": [
             "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
             "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
             "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
            ]
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Rol de IAM de EventBridge

Permisos necesarios para la consola de Amazon ECS con AWS CloudFormation