Autorisations requises pour la console Amazon ECS - Amazon Elastic Container Service
Autorisations pour créer des rôles IAMAutorisations requises pour enregistrer une instance externe dans un clusterAutorisations requises pour enregistrer une définition de tâcheAutorisations requises pour créer une EventBridge règle pour les tâches planifiéesAutorisations requises pour visualiser les déploiements de services

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations requises pour la console Amazon ECS

Conformément à la bonne pratique pour accorder le moindre privilège, vous pouvez utiliser la stratégie gérée par AmazonECS_FullAccess comme modèle pour créer votre propre stratégie personnalisée. De cette façon, vous pouvez supprimer ou ajouter des autorisations pour la stratégie gérée en fonction de vos besoins spécifiques. Pour plus d'informations, consultez AmazonECS_ FullAccess dans le manuel AWS Managed Policy Reference.

Autorisations pour créer des rôles IAM

Les actions suivantes nécessitent des autorisations supplémentaires pour terminer l'opération :

Vous pouvez ajouter ces autorisations en créant un rôle dans IAM avant de les utiliser dans la console Amazon ECS. Si vous ne créez pas les rôles, la console Amazon ECS les crée en votre nom.

Autorisations requises pour enregistrer une instance externe dans un cluster

Vous avez besoin d'autorisations supplémentaires lorsque vous enregistrez une instance externe dans un cluster et que vous souhaitez créer un nouveau rôle d'instance externe (ecsExternalInstanceRole).

Les autorisations supplémentaires suivantes sont requises :

  • iam : permet aux principaux de créer et répertorier les rôles IAM et les politiques qui leur sont attachées.

  • ssm : permet aux principaux d'enregistrer l'instance externe auprès de Systems Manager.

Note

Pour choisir un ecsExternalInstanceRole existant, vous devez disposer des autorisations iam:GetRole et iam:PassRole.

La politique suivante contient les autorisations requises et limite les actions au rôle ecsExternalInstanceRole. 

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": ["iam:PassRole","ssm:CreateActivation"],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        }
    ]
}

Autorisations requises pour enregistrer une définition de tâche

Vous avez besoin d'autorisations supplémentaires lorsque vous enregistrez une définition de tâche et que vous souhaitez créer un nouveau rôle d'exécution de tâche (ecsTaskExecutionRole).

Les autorisations supplémentaires suivantes sont requises :

  • iam : permet aux principaux de créer et répertorier les rôles IAM et les politiques qui leur sont attachées.

Note

Pour choisir un ecsTaskExecutionRole existant, vous devez disposer de l'autorisation iam:GetRole.

La politique suivante contient les autorisations requises et limite les actions au rôle ecsTaskExecutionRole. 

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
        }
    ]
}

Autorisations requises pour créer une EventBridge règle pour les tâches planifiées

Vous avez besoin d'autorisations supplémentaires lorsque vous planifiez une tâche et que vous souhaitez créer un nouveau rôle CloudWatch Events (ecsEventsRole).

Les autorisations supplémentaires suivantes sont requises :

  • iam : permet aux principaux de créer et de répertorier les rôles IAM et les politiques qui leur sont associées, et d'autoriser Amazon ECS à transmettre le rôle à d'autres services pour qu'ils l'endossent.

Note

Pour choisir un ecsEventsRole existant, vous devez disposer des autorisations iam:GetRole et iam:PassRole.

La politique suivante contient les autorisations requises et limite les actions au rôle ecsEventsRole. 

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole",
              "iam: PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsEventsRole"
        }
    ]
}

Autorisations requises pour visualiser les déploiements de services

Lorsque vous suivez la meilleure pratique consistant à accorder le moindre privilège, vous devez ajouter des autorisations supplémentaires afin de visualiser les déploiements de services dans la console.

Vous devez avoir accès aux actions suivantes :

  • ListServiceDeployments

  • DescribeServiceDeployments

  • DescribeServiceRevisions

Vous devez avoir accès aux ressources suivantes :

  • Service

  • Déploiement du service

  • Révision du service

L'exemple de politique suivant contient les autorisations requises et limite les actions à un service spécifique.

Remplacez le accountcluster-name, et service-name par vos valeurs.

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "ecs:ListServiceDeployments",
              "ecs:DescribeServiceDeployments",
              "ecs:DescribeServiceRevisions"
            ],
            "Resource": [
             "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
             "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
             "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
            ]
        }
    ]
}