Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon Elastic Container Service
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par les IAM clients qui fournissent à votre équipe uniquement les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le Guide de IAM l'utilisateur.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste et une description des politiques relatives aux fonctions de travail, voir les politiques AWS gérées pour les fonctions de travail dans le Guide de IAM l'utilisateur.
Amazon ECS et Amazon ECR fournissent plusieurs politiques gérées et relations de confiance que vous pouvez associer aux utilisateurs, aux groupes, aux rôles, aux EC2 instances Amazon et aux ECS tâches Amazon, qui permettent différents niveaux de contrôle sur les ressources et les API opérations. Vous pouvez appliquer ces politiques directement ou les utiliser comme points de départ pour créer vos propres politiques. Pour plus d'informations sur les politiques ECR gérées par Amazon, consultez la section Politiques ECR gérées par Amazon.
Amazon ECS _ FullAccess
Vous pouvez associer la AmazonECS_FullAccess politique à votre IAM identité.
Cette politique accorde un accès administratif aux ECS ressources Amazon et accorde un accès IAM identitaire (tel qu'un utilisateur, un groupe ou un rôle) aux AWS services auxquels Amazon ECS est intégré pour utiliser toutes les ECS fonctionnalités d'Amazon. L'utilisation de cette politique permet d'accéder à toutes les ECS fonctionnalités d'Amazon disponibles dans le AWS Management Console.
Détails de l’autorisation
La IAM politique AmazonECS_FullAccess gérée inclut les autorisations suivantes. Conformément à la bonne pratique pour accorder le moindre privilège, vous pouvez utiliser la stratégie gérée par AmazonECS_FullAccess comme modèle pour créer votre propre stratégie personnalisée. De cette façon, vous pouvez supprimer ou ajouter des autorisations pour la stratégie gérée en fonction de vos besoins spécifiques.
-
ecs— Permet aux principaux un accès complet à toutes les ECS API opérations d'Amazon. -
application-autoscaling: permet aux mandataires de créer, de décrire et de gérer des ressources Application Auto Scaling. Cela est nécessaire lorsque vous activez le dimensionnement automatique des services pour vos ECS services Amazon. -
appmesh: permet aux mandataires de répertorier les maillages de service et les nœuds virtuels App Mesh et de décrire les nœuds virtuels App Mesh. Cela est nécessaire lors de l'intégration de vos ECS services Amazon à App Mesh. -
autoscaling— Permet aux directeurs de créer, de gérer et de décrire les ressources Amazon EC2 Auto Scaling. Cela est nécessaire lors de la gestion des groupes Amazon EC2 Auto Scaling lors de l'utilisation de la fonctionnalité de dimensionnement automatique des clusters. -
cloudformation— Permet aux directeurs de créer et de gérer des AWS CloudFormation piles. Cela est nécessaire lors de la création de ECS clusters Amazon à l'aide de ces clusters AWS Management Console et de leur gestion ultérieure. -
cloudwatch— Permet aux directeurs de créer, de gérer et de décrire les CloudWatch alarmes Amazon. -
codedeploy— Permet aux responsables de créer et de gérer des déploiements d'applications et de visualiser leurs configurations, leurs révisions et leurs cibles de déploiement. -
sns— Permet aux directeurs de consulter la liste des SNS sujets Amazon. -
lambda: permet aux mandataires d'afficher une liste de fonctions AWS Lambda et les configurations spécifiques à leur version. -
ec2— Permet aux principaux d'exécuter des EC2 instances Amazon et de créer et gérer des itinéraires, des tables de routage, des passerelles Internet, des groupes de lancement, des groupes de sécurité, des clouds privés virtuels, des flottes ponctuelles et des sous-réseaux. -
elasticloadbalancing: permet aux mandataires de créer, décrire et supprimer des équilibreurs de charge Elastic Load Balancing. Les principaux seront également en mesure d'ajouter des balises aux groupes cibles, écouteurs et règles d'écouteurs récemment créés pour les équilibreurs de charge. -
events— Permet aux principaux de créer, de gérer et de supprimer les EventBridge règles Amazon et leurs cibles. -
iam— Permet aux principaux de répertorier les IAM rôles et les politiques qui leur sont associées. Les directeurs peuvent transmettre des rôles à Amazon ECS pour déléguer la gestion des EBS volumes Amazon associés à ECS des tâches. Les principaux peuvent également répertorier les profils d'instance disponibles pour vos EC2 instances Amazon. -
logs— Permet aux principaux de créer et de décrire des groupes de CloudWatch journaux Amazon Logs. Les mandataires peuvent également répertorier les événements de journal pour ces groupes de journaux. -
route53: permet aux mandataires de créer, de gérer et de supprimer des zones hébergées Amazon Route 53. Les mandataires peuvent également consulter la configuration et les informations de surveillance de l'état d'Amazon Route 53. Pour plus d'informations sur les zones hébergées, veuillez consulter Utilisation des zones hébergées. -
servicediscovery— Permet aux principaux de créer, de gérer et de supprimer des AWS Cloud Map services et de créer des espaces de DNS noms privés.
Voici un exemple de politique AmazonECS_FullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ECSIntegrationsManagementPolicy", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget", "appmesh:DescribeVirtualGateway", "appmesh:DescribeVirtualNode", "appmesh:ListMeshes", "appmesh:ListVirtualGateways", "appmesh:ListVirtualNodes", "autoscaling:CreateAutoScalingGroup", "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:DeleteLaunchConfiguration", "autoscaling:Describe*", "autoscaling:UpdateAutoScalingGroup", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStack*", "cloudformation:UpdateStack", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricStatistics", "cloudwatch:PutMetricAlarm", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetApplications", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:ContinueDeployment", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetApplicationRevision", "codedeploy:GetDeployment", "codedeploy:GetDeploymentConfig", "codedeploy:GetDeploymentGroup", "codedeploy:GetDeploymentTarget", "codedeploy:ListApplicationRevisions", "codedeploy:ListApplications", "codedeploy:ListDeploymentConfigs", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:ListDeploymentTargets", "codedeploy:RegisterApplicationRevision", "codedeploy:StopDeployment", "ec2:AssociateRouteTable", "ec2:AttachInternetGateway", "ec2:AuthorizeSecurityGroupIngress", "ec2:CancelSpotFleetRequests", "ec2:CreateInternetGateway", "ec2:CreateLaunchTemplate", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:DeleteLaunchTemplate", "ec2:DeleteSubnet", "ec2:DeleteVpc", "ec2:Describe*", "ec2:DetachInternetGateway", "ec2:DisassociateRouteTable", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:RequestSpotFleet", "ec2:RunInstances", "ecs:*", "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:CreateListener", "elasticloadbalancing:CreateLoadBalancer", "elasticloadbalancing:CreateRule", "elasticloadbalancing:CreateTargetGroup", "elasticloadbalancing:DeleteListener", "elasticloadbalancing:DeleteLoadBalancer", "elasticloadbalancing:DeleteRule", "elasticloadbalancing:DeleteTargetGroup", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeTargetGroups", "events:DeleteRule", "events:DescribeRule", "events:ListRuleNamesByTarget", "events:ListTargetsByRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets", "fsx:DescribeFileSystems", "iam:ListAttachedRolePolicies", "iam:ListInstanceProfiles", "iam:ListRoles", "lambda:ListFunctions", "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:FilterLogEvents", "route53:CreateHostedZone", "route53:DeleteHostedZone", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHostedZonesByName", "servicediscovery:CreatePrivateDnsNamespace", "servicediscovery:CreateService", "servicediscovery:DeleteService", "servicediscovery:GetNamespace", "servicediscovery:GetOperation", "servicediscovery:GetService", "servicediscovery:ListNamespaces", "servicediscovery:ListServices", "servicediscovery:UpdateService", "sns:ListTopics" ], "Resource": [ "*" ] }, { "Sid": "SSMPolicy", "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:GetParameters", "ssm:GetParametersByPath" ], "Resource": "arn:aws:ssm:*:*:parameter/aws/service/ecs*" }, { "Sid": "ManagedCloudformationResourcesCleanupPolicy", "Effect": "Allow", "Action": [ "ec2:DeleteInternetGateway", "ec2:DeleteRoute", "ec2:DeleteRouteTable", "ec2:DeleteSecurityGroup" ], "Resource": [ "*" ], "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "EC2ContainerService-*" } } }, { "Sid": "TasksPassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }, { "Sid": "InfrastructurePassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsInfrastructureRole" ], "Condition": { "StringEquals": { "iam:PassedToService": "ecs.amazonaws.com" } } }, { "Sid": "InstancePassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsInstanceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.rproxy.goskope.com.cn" ] } } }, { "Sid": "AutoScalingPassRolePolicy", "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/ecsAutoscaleRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "application-autoscaling.amazonaws.com", "application-autoscaling.amazonaws.com.rproxy.goskope.com.cn" ] } } }, { "Sid": "ServiceLinkedRoleCreationPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "ecs.amazonaws.com", "autoscaling.amazonaws.com", "ecs.application-autoscaling.amazonaws.com", "spot.amazonaws.com", "spotfleet.amazonaws.com" ] } } }, { "Sid": "ELBTaggingPolicy", "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "elasticloadbalancing:CreateAction": [ "CreateTargetGroup", "CreateRule", "CreateListener", "CreateLoadBalancer" ] } } } ] }
UN mazonECSInfrastructure RolePolicyForVolumes
La IAM politique AmazonECSInfrastructureRolePolicyForVolumes gérée accorde les autorisations nécessaires ECS à Amazon pour passer des AWS API appels en votre nom. Vous pouvez associer cette politique au IAM rôle que vous attribuez à la configuration de votre volume lorsque vous lancez ECS des tâches et des services Amazon. Ce rôle permet ECS à Amazon de gérer les volumes associés à vos tâches. Pour plus d'informations, consultez le IAMrôle d'Amazon dans ECS l'infrastructure.
Détails de l’autorisation
La IAM politique AmazonECSInfrastructureRolePolicyForVolumes gérée inclut les autorisations suivantes. En suivant les conseils de sécurité standard relatifs à l'octroi du moindre privilège, vous pouvez utiliser la politique AmazonECSInfrastructureRolePolicyForVolumes gérée comme modèle pour créer votre propre politique personnalisée qui inclut uniquement les autorisations dont vous avez besoin.
-
ec2:CreateVolume— Permet à un principal de créer un EBS volume Amazon si et uniquement s'il est étiqueté avec lesAmazonECSManagedbalisesAmazonECSCreatedet. Cette autorisation est requise pour créer des EBS volumes Amazon attachés aux ECS tâches Amazon et pour minimiser les autorisations accordées à Amazon ECS par cette politique. -
ec2:CreateTags— Permet au principal d'ajouter des balises à un EBS volume Amazon dans le cadre deec2:CreateVolume. Cette autorisation est requise par Amazon ECS pour ajouter des balises spécifiées par le client aux EBS volumes Amazon créés en votre nom. -
ec2:AttachVolume— Permet à un principal d'associer un EBS volume Amazon à une EC2 instance Amazon. Cette autorisation est requise par Amazon ECS pour associer des EBS volumes Amazon à l'EC2instance Amazon hébergeant la ECS tâche Amazon associée. -
ec2:DescribeVolume— Permet à un mandant de récupérer des informations sur les EBS volumes Amazon. Cette autorisation est requise pour gérer le cycle de vie des EBS volumes Amazon. -
ec2:DescribeAvailabilityZones— Permet à un mandant de récupérer des informations sur les zones de disponibilité de votre compte. Cela est nécessaire pour gérer le cycle de vie des EBS volumes. -
ec2:DetachVolume— Permet à un principal de détacher un EBS volume Amazon d'une EC2 instance Amazon. Cette autorisation est requise par Amazon ECS pour détacher le EBS volume Amazon de l'EC2instance Amazon qui héberge la ECS tâche Amazon associée lorsque celle-ci se termine. -
ec2:DeleteVolume— Permet au principal de supprimer un EBS volume Amazon. Cette autorisation est requise par Amazon ECS pour supprimer les EBS volumes Amazon qui ne sont plus utilisés par la ECS tâche Amazon. -
ec2:DeleteTags— Permet au principal de supprimer leAmazonECSManagedtag d'un EBS volume Amazon. Cette autorisation est requise par Amazon ECS pour supprimer l'accès à un EBS volume Amazon une fois que celui-ci n'est plus associé à une ECS charge de travail Amazon. Cela ne s'applique que lorsqu'un EBS volume Amazon n'est pas supprimé après l'arrêt de la tâche.
Voici un exemple de politique AmazonECSInfrastructureRolePolicyForVolumes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateEBSManagedVolume", "Effect": "Allow", "Action": "ec2:CreateVolume", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true" } } }, { "Sid": "TagOnCreateVolume", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "ec2:CreateAction": "CreateVolume", "aws:RequestTag/AmazonECSManaged": "true" } } }, { "Sid": "DescribeVolumesForLifecycle", "Effect": "Allow", "Action": [ "ec2:DescribeVolumes", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Sid": "ManageEBSVolumeLifecycle", "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } }, { "Sid": "ManageVolumeAttachmentsForEC2", "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*" }, { "Sid": "DeleteEBSManagedVolume", "Effect": "Allow", "Action": "ec2:DeleteVolume", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "ArnLike": { "aws:ResourceTag/AmazonECSCreated": "arn:aws:ecs:*:*:task/*" }, "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } } ] }
Amazon EC2ContainerServiceforEC2Role
Amazon ECS associe cette politique à un rôle de service qui permet ECS à Amazon d'effectuer des actions en votre nom contre des EC2 instances Amazon ou des instances externes.
Cette politique accorde des autorisations administratives qui permettent aux instances de ECS conteneur Amazon de passer des appels AWS en votre nom. Pour de plus amples informations, veuillez consulter IAMRôle de l'instance de ECS conteneur Amazon.
Considérations
Vous devez tenir compte des recommandations et considérations suivantes lorsque vous utilisez la IAM politique AmazonEC2ContainerServiceforEC2Role gérée.
-
En suivant les conseils de sécurité standard pour accorder le moindre privilège, vous pouvez modifier la stratégie IAM gérée par
AmazonEC2ContainerServiceforEC2Rolepour répondre à vos besoins spécifiques. Si l'une des autorisations accordées dans la stratégie gérée n'est pas nécessaire pour votre cas d'utilisation, créez une stratégie personnalisée et ajoutez uniquement les autorisations dont vous avez besoin. Par exemple, l'autorisationUpdateContainerInstancesStateest fournie pour le drainage d'instances Spot. Si cette autorisation n'est pas nécessaire pour votre cas d'utilisation, excluez-la à l'aide d'une stratégie personnalisée. Pour de plus amples informations, veuillez consulter Détails de l’autorisation. -
Les conteneurs qui s'exécutent sur vos instances de conteneur ont accès à toutes les autorisations fournies au rôle d'instance de conteneur par le biais des métadonnées d'instance. Nous vous recommandons de limiter les autorisations dans votre rôle d'instance de conteneur à la liste minimale d'autorisations fournie dans la stratégie gérée par
AmazonEC2ContainerServiceforEC2Roleprésentée ci-dessous. Si les conteneurs de vos tâches nécessitent des autorisations supplémentaires qui ne sont pas répertoriées, nous vous recommandons de doter ces tâches de leurs propres IAM rôles. Pour de plus amples informations, veuillez consulter IAMRôle de ECS tâche Amazon.Vous pouvez empêcher les conteneurs du bridge
docker0d'accéder aux autorisations fournies au rôle de l'instance de conteneur, et ce tout en autorisant les autorisations fournies par IAMRôle de ECS tâche Amazon en exécutant la commande iptables suivante sur vos instances de conteneur. Les conteneurs ne peuvent pas interroger les métadonnées d'instance lorsque cette règle est en vigueur. Notez que cette commande suppose une configuration bridge Docker par défaut et ne fonctionnera pas avec les conteneurs qui utilisent le mode réseauhost. Pour de plus amples informations, veuillez consulter Mode réseau.sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROPPour garantir le maintien de la règle iptables après un redémarrage, vous devez l'enregistrer sur votre instance de conteneur. Pour Amazon ECS -optimizedAMI, utilisez la commande suivante. Pour les autres systèmes d'exploitation, consultez la documentation correspondante.
-
Pour Amazon Linux 2 ECS AMI optimisé pour Amazon :
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables -
Pour Amazon Linux ECS AMI optimisé pour Amazon :
sudo service iptables save
-
Détails de l’autorisation
La IAM politique AmazonEC2ContainerServiceforEC2Role gérée inclut les autorisations suivantes. Conformément aux conseils de sécurité standard pour accorder le moindre privilège, la stratégie gérée par AmazonEC2ContainerServiceforEC2Role peut être utilisée comme guide. Si vous n'avez pas besoin des autorisations accordées dans la stratégie gérée pour votre cas d'utilisation, créez une stratégie personnalisée et ajoutez uniquement les autorisations dont vous avez besoin.
-
ec2:DescribeTags— Permet à un principal de décrire les balises associées à une EC2 instance Amazon. Cette autorisation est utilisée par l'agent de ECS conteneur Amazon pour prendre en charge la propagation des balises de ressources. Pour de plus amples informations, veuillez consulter Comment les ressources sont étiquetées. -
ecs:CreateCluster— Permet à un principal de créer un ECS cluster Amazon. Cette autorisation est utilisée par l'agent de ECS conteneur Amazon pour créer undefaultcluster, s'il n'en existe pas déjà un. -
ecs:DeregisterContainerInstance— Permet à un principal de désenregistrer une instance de ECS conteneur Amazon d'un cluster. L'agent de ECS conteneur Amazon n'appelle pas cette API opération, mais cette autorisation est conservée pour garantir la rétrocompatibilité. -
ecs:DiscoverPollEndpoint— Cette action renvoie les points de terminaison que l'agent de ECS conteneur Amazon utilise pour demander des mises à jour. -
ecs:Poll— Permet à l'agent de ECS conteneur Amazon de communiquer avec le plan de ECS contrôle Amazon pour signaler les modifications de l'état des tâches. -
ecs:RegisterContainerInstance: permet au principal d'enregistrer une instance de conteneur avec un cluster. Cette autorisation est utilisée par l'agent de ECS conteneur Amazon pour enregistrer l'EC2instance Amazon auprès d'un cluster et pour prendre en charge la propagation des balises de ressources. -
ecs:StartTelemetrySession— Permet à l'agent de ECS conteneur Amazon de communiquer avec le plan de ECS contrôle Amazon pour communiquer des informations et des mesures relatives à l'état de santé de chaque conteneur et de chaque tâche. -
ecs:TagResource— Permet à l'agent de ECS conteneur Amazon de baliser le cluster lors de sa création et de baliser les instances de conteneur lorsqu'elles sont enregistrées dans un cluster. -
ecs:UpdateContainerInstancesState— Permet au principal de modifier le statut d'une instance de ECS conteneur Amazon. Cette autorisation est utilisée par l'agent de ECS conteneur Amazon pour le drainage des instances Spot. -
ecs:Submit*— Cela inclut lesSubmitTaskStateChangeAPI actionsSubmitAttachmentStateChangesSubmitContainerStateChange, et. Ils sont utilisés par l'agent de ECS conteneur Amazon pour signaler les changements d'état de chaque ressource au plan ECS de contrôle Amazon. L'SubmitContainerStateChangeautorisation n'est plus utilisée par l'agent de ECS conteneur Amazon, mais elle est conservée pour garantir la rétrocompatibilité. -
ecr:GetAuthorizationToken: permet au principal de récupérer un jeton d'autorisation. Le jeton d'autorisation représente vos informations d'IAMauthentification et peut être utilisé pour accéder à n'importe quel ECR registre Amazon auquel le IAM principal a accès. Le jeton d'autorisation reçu est valide pendant 12 heures. -
ecr:BatchCheckLayerAvailability— Lorsqu'une image de conteneur est transférée vers un référentiel ECR privé Amazon, chaque couche d'image est vérifiée pour vérifier si elle a déjà été transférée. Le cas échéant, le calque d'image est ignoré. -
ecr:GetDownloadUrlForLayer— Lorsqu'une image de conteneur est extraite d'un référentiel ECR privé Amazon, elle API est appelée une fois pour chaque couche d'image qui n'est pas encore mise en cache. -
ecr:BatchGetImage— Lorsqu'une image de conteneur est extraite d'un référentiel ECR privé Amazon, celle-ci API est appelée une seule fois pour récupérer le manifeste de l'image. -
logs:CreateLogStream— Permet à un principal de créer un flux de CloudWatch journaux pour un groupe de journaux spécifié. -
logs:PutLogEvents: permet au principal de charger un lot d'événements de journaux dans un flux de journaux spécifié.
Voici un exemple de stratégie AmazonEC2ContainerServiceforEC2Role.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ecs:CreateCluster", "ecs:DeregisterContainerInstance", "ecs:DiscoverPollEndpoint", "ecs:Poll", "ecs:RegisterContainerInstance", "ecs:StartTelemetrySession", "ecs:UpdateContainerInstancesState", "ecs:Submit*", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": [ "CreateCluster", "RegisterContainerInstance" ] } } } ] }
Amazon EC2ContainerServiceEventsRole
Cette politique accorde des autorisations qui permettent à Amazon EventBridge (anciennement CloudWatch Events) d'exécuter des tâches en votre nom. Cette politique peut être associée au IAM rôle spécifié lorsque vous créez des tâches planifiées. Pour de plus amples informations, veuillez consulter ECS EventBridge IAMRôle Amazon.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
ecs— Permet au principal d'un service d'appeler Amazon ECS RunTask API. Permet au principal d'un service d'ajouter des tags (TagResource) lorsqu'il appelle Amazon ECS RunTask API. -
iam— Permet de transmettre n'importe quel rôle de IAM service à n'importe quelle ECS tâche Amazon.
Voici un exemple de politique AmazonEC2ContainerServiceEventsRole.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:RunTask"], "Resource": ["*"] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": ["*"], "Condition": { "StringLike": {"iam:PassedToService": "ecs-tasks.amazonaws.com"} } }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": ["RunTask"] } } } ] }
UN mazonECSTask ExecutionRolePolicy
La IAM politique AmazonECSTaskExecutionRolePolicy gérée accorde les autorisations nécessaires à l'agent de ECS conteneur Amazon et aux agents de AWS Fargate conteneurs pour AWS API passer des appels en votre nom. Cette politique peut être ajoutée à votre IAM rôle d'exécution des tâches. Pour de plus amples informations, veuillez consulter IAMRôle d'exécution des ECS tâches Amazon.
Détails de l'autorisation
La IAM politique AmazonECSTaskExecutionRolePolicy gérée inclut les autorisations suivantes. Conformément aux conseils de sécurité standard pour accorder le moindre privilège, la stratégie gérée par AmazonECSTaskExecutionRolePolicy peut être utilisée comme guide. Si l'une des autorisations qui sont accordées dans la stratégie gérée n'est pas nécessaire pour votre cas d'utilisation, créez une stratégie personnalisée et ajoutez uniquement les autorisations dont vous avez besoin.
-
ecr:GetAuthorizationToken: permet au principal de récupérer un jeton d'autorisation. Le jeton d'autorisation représente vos informations d'IAMauthentification et peut être utilisé pour accéder à n'importe quel ECR registre Amazon auquel le IAM principal a accès. Le jeton d'autorisation reçu est valide pendant 12 heures. -
ecr:BatchCheckLayerAvailability— Lorsqu'une image de conteneur est transférée vers un référentiel ECR privé Amazon, chaque couche d'image est vérifiée pour vérifier si elle a déjà été transférée. Si elle a été transmise, le calque d'image est ignoré. -
ecr:GetDownloadUrlForLayer— Lorsqu'une image de conteneur est extraite d'un référentiel ECR privé Amazon, elle API est appelée une fois pour chaque couche d'image qui n'est pas encore mise en cache. -
ecr:BatchGetImage— Lorsqu'une image de conteneur est extraite d'un référentiel ECR privé Amazon, celle-ci API est appelée une seule fois pour récupérer le manifeste de l'image. -
logs:CreateLogStream— Permet à un principal de créer un flux de CloudWatch journaux pour un groupe de journaux spécifié. -
logs:PutLogEvents: permet au principal de charger un lot d'événements de journaux dans un flux de journaux spécifié.
Voici un exemple de stratégie AmazonECSTaskExecutionRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
UN mazonECSService RolePolicy
La IAM politique AmazonECSServiceRolePolicy gérée permet à Amazon Elastic Container Service de gérer votre cluster. Cette politique peut être ajoutée à votre IAM rôle d'exécution des tâches. Pour de plus amples informations, veuillez consulter IAMRôle d'exécution des ECS tâches Amazon.
Détails de l'autorisation
La IAM politique AmazonECSServiceRolePolicy gérée inclut les autorisations suivantes. Conformément aux conseils de sécurité standard pour accorder le moindre privilège, la stratégie gérée par AmazonECSServiceRolePolicy peut être utilisée comme guide. Si l'une des autorisations qui sont accordées dans la stratégie gérée n'est pas nécessaire pour votre cas d'utilisation, créez une stratégie personnalisée et ajoutez uniquement les autorisations dont vous avez besoin.
-
autoscaling— Permet aux directeurs de créer, de gérer et de décrire les ressources Amazon EC2 Auto Scaling. Cela est nécessaire lors de la gestion des groupes Amazon EC2 Auto Scaling lors de l'utilisation de la fonctionnalité de dimensionnement automatique des clusters. -
autoscaling-plans: permet aux principaux de créer, supprimer et décrire des plans de mise à l'échelle automatique. -
cloudwatch— Permet aux directeurs de créer, de gérer et de décrire les CloudWatch alarmes Amazon. -
ec2— Permet aux principaux d'accéder aux EC2 instances Amazon et de créer et de gérer des interfaces réseau et des balises. -
elasticloadbalancing: permet aux mandataires de créer, décrire et supprimer des équilibreurs de charge Elastic Load Balancing. Les directeurs seront également en mesure d'ajouter et de décrire des groupes cibles. -
logs— Permet aux principaux de créer et de décrire des groupes de CloudWatch journaux Amazon Logs. Les mandataires peuvent également répertorier les événements de journal pour ces groupes de journaux. -
route53: permet aux mandataires de créer, de gérer et de supprimer des zones hébergées Amazon Route 53. Les mandataires peuvent également consulter la configuration et les informations de surveillance de l'état d'Amazon Route 53. Pour plus d'informations sur les zones hébergées, veuillez consulter Utilisation des zones hébergées. -
servicediscovery— Permet aux principaux de créer, de gérer et de supprimer des AWS Cloud Map services et de créer des espaces de DNS noms privés. -
events— Permet aux principaux de créer, de gérer et de supprimer les EventBridge règles Amazon et leurs cibles.
Voici un exemple de politique AmazonECSServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ECSTaskManagement", "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:Describe*", "ec2:DetachNetworkInterface", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DeregisterTargets", "elasticloadbalancing:Describe*", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:DeleteHealthCheck", "route53:Get*", "route53:List*", "route53:UpdateHealthCheck", "servicediscovery:DeregisterInstance", "servicediscovery:Get*", "servicediscovery:List*", "servicediscovery:RegisterInstance", "servicediscovery:UpdateInstanceCustomHealthStatus" ], "Resource": "*" }, { "Sid": "AutoScaling", "Effect": "Allow", "Action": [ "autoscaling:Describe*" ], "Resource": "*" }, { "Sid": "AutoScalingManagement", "Effect": "Allow", "Action": [ "autoscaling:DeletePolicy", "autoscaling:PutScalingPolicy", "autoscaling:SetInstanceProtection", "autoscaling:UpdateAutoScalingGroup", "autoscaling:PutLifecycleHook", "autoscaling:DeleteLifecycleHook", "autoscaling:CompleteLifecycleAction", "autoscaling:RecordLifecycleActionHeartbeat" ], "Resource": "*", "Condition": { "Null": { "autoscaling:ResourceTag/AmazonECSManaged": "false" } } }, { "Sid": "AutoScalingPlanManagement", "Effect": "Allow", "Action": [ "autoscaling-plans:CreateScalingPlan", "autoscaling-plans:DeleteScalingPlan", "autoscaling-plans:DescribeScalingPlans", "autoscaling-plans:DescribeScalingPlanResources" ], "Resource": "*" }, { "Sid": "EventBridge", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": "arn:aws:events:*:*:rule/ecs-managed-*" }, { "Sid": "EventBridgeRuleManagement", "Effect": "Allow", "Action": [ "events:PutRule", "events:PutTargets" ], "Resource": "*", "Condition": { "StringEquals": { "events:ManagedBy": "ecs.amazonaws.com" } } }, { "Sid": "CWAlarmManagement", "Effect": "Allow", "Action": [ "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Sid": "ECSTagging", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*" }, { "Sid": "CWLogGroupManagement", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogGroups", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*" }, { "Sid": "CWLogStreamManagement", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*:log-stream:*" }, { "Sid": "ExecuteCommandSessionManagement", "Effect": "Allow", "Action": [ "ssm:DescribeSessions" ], "Resource": "*" }, { "Sid": "ExecuteCommand", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ecs:*:*:task/*", "arn:aws:ssm:*:*:document/AmazonECS-ExecuteInteractiveCommand" ] }, { "Sid": "CloudMapResourceCreation", "Effect": "Allow", "Action": [ "servicediscovery:CreateHttpNamespace", "servicediscovery:CreateService" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonECSManaged" ] } } }, { "Sid": "CloudMapResourceTagging", "Effect": "Allow", "Action": "servicediscovery:TagResource", "Resource": "*", "Condition": { "StringLike": { "aws:RequestTag/AmazonECSManaged": "*" } } }, { "Sid": "CloudMapResourceDeletion", "Effect": "Allow", "Action": [ "servicediscovery:DeleteService" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AmazonECSManaged": "false" } } }, { "Sid": "CloudMapResourceDiscovery", "Effect": "Allow", "Action": [ "servicediscovery:DiscoverInstances", "servicediscovery:DiscoverInstancesRevision" ], "Resource": "*" } ] }
AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
Fournit un accès administratif à AWS Private Certificate Authority Secrets Manager et AWS aux autres services nécessaires pour gérer les TLS fonctionnalités d'Amazon ECS Service Connect en votre nom.
Détails de l’autorisation
La IAM politique AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity gérée inclut les autorisations suivantes. Conformément aux conseils de sécurité standard pour accorder le moindre privilège, la stratégie gérée par AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity peut être utilisée comme guide. Si l'une des autorisations qui sont accordées dans la stratégie gérée n'est pas nécessaire pour votre cas d'utilisation, créez une stratégie personnalisée et ajoutez uniquement les autorisations dont vous avez besoin.
-
secretsmanager:CreateSecret— Permet au principal de créer le secret. C'est obligatoire pour Service ConnectTLS, Amazon ECS conserve la clé privée du client secrète dans le Secrets Manager du client. -
secretsmanager:TagResource— Permet au principal d'attacher une étiquette au secret créé. Il est nécessaire pour Service ConnectTLS, car Amazon ECS crée le secret pour le compte du client et associe une balise à la ressource. Ces balises permettent au client d'identifier plus facilement le secret géré et de limiter les actions relatives à ces secrets. -
secretsmanager:DescribeSecret— Autoriser le principal à décrire le secret et à récupérer le stade de version actuel. Amazon doit ECS effectuer la rotation des TLS matériaux Amazon ECS Service Connect. -
secretsmanager:UpdateSecret— Autoriser le principal à mettre à jour le secret. Amazon doit effectuer la rotation ECS des TLS documents Amazon ECS Service Connect et mettre à jour le secret avec de nouveaux documents. -
secretsmanager:GetSecretValue— Autorise le principal à obtenir la valeur secrète. Amazon doit ECS effectuer la rotation des TLS matériaux Amazon ECS Service Connect. -
secretsmanager:PutSecretValue— Autorise le principal à saisir la valeur secrète. Amazon doit ECS effectuer la rotation des TLS matériaux Amazon ECS Service Connect. -
secretsmanager:UpdateSecretVersionStage— Autoriser le principal à mettre à jour l'étape de la version secrète. Amazon doit ECS effectuer la rotation des TLS matériaux Amazon ECS Service Connect. -
acm-pca:IssueCertificate— Autoriser le principal IssueCertificateEnd entity certificateà appeler Amazon ECS Service ConnectTLS. Il était nécessaire ECS de générer un certificat pour le service en amont du client. -
acm-pca:GetCertificate— Autoriser le principal GetCertificateEnd entity certificateà appeler Amazon ECS Service ConnectTLS. -
acm-pca:GetCertificateAuthorityCertificate— Autoriser le principal à obtenir le certificat des autorités de certification. Il est nécessaire pour Amazon ECS Service Connect TLS afin que le service en aval du client puisse faire confiance au certificat d'entité en amont. -
acm-pca:DescribeCertificateAuthority— Autoriser le principal à obtenir des informations sur l'autorité de certification. Amazon ECS Service Connect TLS doit réutiliser des informations telles que l'algorithme de signature pour créer la CSR (demande de signature de certificat).
Voici un exemple de politique AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateSecret", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": [ "arn:aws:ecs:*:*:service/*/*", "arn:aws:ecs:*:*:task-set/*/*" ] }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "TagOnCreateSecret", "Effect": "Allow", "Action": "secretsmanager:TagResource", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "ArnLike": { "aws:RequestTag/AmazonECSCreated": [ "arn:aws:ecs:*:*:service/*/*", "arn:aws:ecs:*:*:task-set/*/*" ] }, "StringEquals": { "aws:RequestTag/AmazonECSManaged": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RotateTLSCertificateSecret", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:UpdateSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue", "secretsmanager:DeleteSecret", "secretsmanager:RotateSecret", "secretsmanager:UpdateSecretVersionStage" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "ecs-sc", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "ManagePrivateCertificateAuthority", "Effect": "Allow", "Action": [ "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:DescribeCertificateAuthority" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true" } } }, { "Sid": "ManagePrivateCertificateAuthorityForIssuingEndEntityCertificate", "Effect": "Allow", "Action": [ "acm-pca:IssueCertificate" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonECSManaged": "true", "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] }
AWSApplicationAutoscalingECSServicePolicy
Vous ne pouvez pas vous attacher AWSApplicationAutoscalingECSServicePolicy à vos IAM entités. Cette stratégie est attachée à un rôle lié à un service qui permet à Application Auto Scaling d'effectuer des actions en votre nom. Pour plus d'informations, veuillez consulter Rôles liés à un service pour scalabilité automatique d'application.
AWSCodeDeployRoleForECS
Vous ne pouvez pas vous attacher AWSCodeDeployRoleForECS à vos IAM entités. Cette politique est associée à un rôle lié à un service qui permet d' CodeDeploy effectuer des actions en votre nom. Pour plus d'informations, voir Créer un rôle de service pour CodeDeploy dans le Guide de AWS CodeDeploy l'utilisateur.
AWSCodeDeployRoleForECSLimited
Vous ne pouvez pas vous attacher AWSCodeDeployRoleForECSLimited à vos IAM entités. Cette politique est associée à un rôle lié à un service qui permet d' CodeDeploy effectuer des actions en votre nom. Pour plus d'informations, voir Créer un rôle de service pour CodeDeploy dans le Guide de AWS CodeDeploy l'utilisateur.
Amazon ECS met à jour AWS ses politiques gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon ECS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS flux sur la page d'historique des ECS documents Amazon.
| Modification | Description | Date |
|---|---|---|
|
Autorisations ajoutées à Amazon ECS _ FullAccess |
La AmazonECS_FullAccess politique a été mise à jour pour ajouter iam:PassRole des autorisations pour les IAM rôles d'un rôle nomméecsInfrastructureRole. Il s'agit du IAM rôle par défaut créé par le AWS Management Console qui est destiné à être utilisé comme rôle d'ECSinfrastructure permettant ECS à Amazon de gérer les EBS volumes Amazon associés à ECS des tâches. |
13 août 2024 |
|
Ajouter une nouvelle mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politique A |
Ajout d'une nouvelle mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politique qui fournit un accès administratif à AWS KMS Secrets Manager et permet aux TLS fonctionnalités d'Amazon ECS Service Connect de fonctionner correctement. AWS Private Certificate Authority |
22 janvier 2024 |
|
Ajouter une nouvelle politique A mazonECSInfrastructure RolePolicyForVolumes |
La AmazonECSInfrastructureRolePolicyForVolumes politique a été ajoutée. La politique accorde les autorisations nécessaires ECS à Amazon pour passer des AWS API appels afin de gérer les EBS volumes Amazon associés aux ECS charges de travail Amazon. |
11 janvier 2024 |
|
Ajouter des autorisations à A mazonECSService RolePolicy |
La IAM politique AmazonECSServiceRolePolicy gérée a été mise à jour avec de nouvelles events autorisations autoscaling et autoscaling-plans autorisations supplémentaires. |
4 décembre 2023 |
|
Ajouter des autorisations à Amazon EC2ContainerServiceEventsRole |
La IAM politique AmazonECSServiceRolePolicy gérée a été mise à jour pour autoriser l'accès à l' AWS Cloud Map
DiscoverInstancesRevisionAPIopération. |
4 octobre 2023 |
|
Ajouter des autorisations à Amazon EC2ContainerServiceforEC2Role |
La AmazonEC2ContainerServiceforEC2Role politique a été modifiée pour ajouter l'ecs:TagResourceautorisation, qui inclut une condition qui limite l'autorisation uniquement aux clusters nouvellement créés et aux instances de conteneur enregistrées. |
06 mars 2023 |
|
Ajouter des autorisations à Amazon ECS _ FullAccess |
La AmazonECS_FullAccess politique a été modifiée pour ajouter l'elasticloadbalancing:AddTagsautorisation, qui inclut une condition qui limite l'autorisation uniquement aux équilibreurs de charge, aux groupes cibles, aux règles et aux écouteurs créés récemment. Cette autorisation n'autorise pas l'ajout de balises à des ressources Elastic Load Balancing déjà créées. |
4 janvier 2023 |
|
Amazon ECS a commencé à suivre les modifications |
Amazon ECS a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
8 juin 2021 |
