Amazon ECS _ FullAccess UN mazonECSInfrastructure RolePolicyForVolumes Amazon EC2ContainerServiceforEC2Role Amazon EC2ContainerServiceEventsRole UN mazonECSTask ExecutionRolePolicy UN mazonECSService RolePolicy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity AWSApplicationAutoscalingECSServicePolicy AWSCodeDeployRoleForECS AWSCodeDeployRoleForECSLimited AmazonECSInfrastructureRolePolicyForVpcLattice Mises à jour des politiques

AWS politiques gérées pour Amazon Elastic Container Service

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l'expertise pour créer des politiques IAM gérées par le client qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le Guide de IAM l'utilisateur.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste et une description des politiques relatives aux fonctions de travail, voir les politiques AWS gérées pour les fonctions de travail dans le Guide de IAM l'utilisateur.

Amazon ECS et Amazon ECR fournissent plusieurs politiques gérées et relations de confiance que vous pouvez associer aux utilisateurs, aux groupes, aux rôles, aux EC2 instances Amazon et aux ECS tâches Amazon, qui permettent différents niveaux de contrôle sur les ressources et les API opérations. Vous pouvez appliquer ces politiques directement ou les utiliser comme points de départ pour créer vos propres politiques. Pour plus d'informations sur les politiques ECR gérées par Amazon, consultez la section Politiques ECR gérées par Amazon.

Amazon ECS _ FullAccess

Vous pouvez attacher la politique AmazonECS_FullAccess à vos identités IAM. Cette politique accorde un accès administratif aux ECS ressources Amazon et accorde un accès IAM identitaire (tel qu'un utilisateur, un groupe ou un rôle) aux AWS services auxquels Amazon ECS est intégré pour utiliser toutes les ECS fonctionnalités d'Amazon. L'utilisation de cette politique permet d'accéder à toutes les ECS fonctionnalités Amazon disponibles dans le AWS Management Console.

Pour consulter les autorisations associées à cette politique, consultez Amazon ECS _ FullAccess dans le AWS Managed Policy Reference.

UN mazonECSInfrastructure RolePolicyForVolumes

Vous pouvez associer la politique AmazonECSInfrastructureRolePolicyForVolumes gérée à vos IAM entités.

La politique accorde les autorisations nécessaires ECS à Amazon pour passer des AWS API appels en votre nom. Vous pouvez associer cette politique au IAM rôle que vous attribuez à la configuration de votre volume lorsque vous lancez ECS des tâches et des services Amazon. Ce rôle permet ECS à Amazon de gérer les volumes associés à vos tâches. Pour plus d'informations, consultez le IAMrôle d'Amazon dans ECS l'infrastructure.

Pour consulter les autorisations associées à cette politique, reportez-vous à la section A du mazonECSInfrastructure RolePolicyForVolumes manuel AWS Managed Policy Reference.

Amazon EC2ContainerServiceforEC2Role

Vous pouvez attacher la politique AmazonEC2ContainerServiceforEC2Role à vos identités IAM. Cette politique accorde des autorisations administratives qui permettent aux instances de ECS conteneur Amazon de passer des appels AWS en votre nom. Pour de plus amples informations, veuillez consulter IAMRôle de l'instance de ECS conteneur Amazon.

Amazon ECS associe cette politique à un rôle de service qui permet ECS à Amazon d'effectuer des actions en votre nom contre des EC2 instances Amazon ou des instances externes.

Pour consulter les autorisations associées à cette politique, consultez Amazon EC2ContainerServiceforEC2Role dans le AWS Managed Policy Reference.

Considérations

Vous devez tenir compte des recommandations et considérations suivantes lorsque vous utilisez la IAM politique AmazonEC2ContainerServiceforEC2Role gérée.

En suivant les conseils de sécurité standard pour accorder le moindre privilège, vous pouvez modifier la stratégie IAM gérée par AmazonEC2ContainerServiceforEC2Role pour répondre à vos besoins spécifiques. Si l'une des autorisations accordées dans la stratégie gérée n'est pas nécessaire pour votre cas d'utilisation, créez une stratégie personnalisée et ajoutez uniquement les autorisations dont vous avez besoin. Par exemple, l'autorisation UpdateContainerInstancesState est fournie pour le drainage d'instances Spot. Si cette autorisation n'est pas nécessaire pour votre cas d'utilisation, excluez-la à l'aide d'une stratégie personnalisée.
Les conteneurs qui s'exécutent sur vos instances de conteneur ont accès à toutes les autorisations fournies au rôle d'instance de conteneur par le biais des métadonnées d'instance. Nous vous recommandons de limiter les autorisations dans votre rôle d'instance de conteneur à la liste minimale d'autorisations fournie dans la stratégie gérée par AmazonEC2ContainerServiceforEC2Role présentée ci-dessous. Si les conteneurs de vos tâches nécessitent des autorisations supplémentaires qui ne sont pas répertoriées, nous vous recommandons de doter ces tâches de leurs propres IAM rôles. Pour de plus amples informations, veuillez consulter IAMRôle de ECS tâche Amazon.

Vous pouvez empêcher les conteneurs du bridge docker0 d'accéder aux autorisations fournies au rôle de l'instance de conteneur, et ce tout en autorisant les autorisations fournies par IAMRôle de ECS tâche Amazon en exécutant la commande iptables suivante sur vos instances de conteneur. Les conteneurs ne peuvent pas interroger les métadonnées d'instance lorsque cette règle est en vigueur. Notez que cette commande suppose une configuration bridge Docker par défaut et ne fonctionnera pas avec les conteneurs qui utilisent le mode réseau host. Pour de plus amples informations, veuillez consulter Mode réseau.
```
sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
```
Pour garantir le maintien de la règle iptables après un redémarrage, vous devez l'enregistrer sur votre instance de conteneur. Pour Amazon ECS -optimizedAMI, utilisez la commande suivante. Pour les autres systèmes d'exploitation, consultez la documentation correspondante.
- Pour Amazon Linux 2 ECS AMI optimisé pour Amazon :
```
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
```
- Pour Amazon Linux ECS AMI optimisé pour Amazon :
```
sudo service iptables save
```

Amazon EC2ContainerServiceEventsRole

Vous pouvez attacher la politique AmazonEC2ContainerServiceEventsRole à vos identités IAM. Cette politique accorde des autorisations qui permettent à Amazon EventBridge (anciennement CloudWatch Events) d'exécuter des tâches en votre nom. Cette politique peut être associée au IAM rôle spécifié lorsque vous créez des tâches planifiées. Pour de plus amples informations, veuillez consulter ECS EventBridge IAMRôle Amazon.

Pour consulter les autorisations associées à cette politique, consultez Amazon EC2ContainerServiceEventsRole dans le AWS Managed Policy Reference.

UN mazonECSTask ExecutionRolePolicy

La IAM politique AmazonECSTaskExecutionRolePolicy gérée accorde les autorisations nécessaires à l'agent de ECS conteneur Amazon et aux agents de AWS Fargate conteneurs pour AWS API passer des appels en votre nom. Cette politique peut être ajoutée à votre IAM rôle d'exécution des tâches. Pour de plus amples informations, veuillez consulter IAMRôle d'exécution des ECS tâches Amazon.

Pour consulter les autorisations associées à cette politique, reportez-vous à la section A du mazonECSTask ExecutionRolePolicy manuel AWS Managed Policy Reference.

UN mazonECSService RolePolicy

La IAM politique AmazonECSServiceRolePolicy gérée permet à Amazon Elastic Container Service de gérer votre cluster. Cette politique peut être ajoutée à votre IAM rôle d'exécution des tâches. Pour de plus amples informations, veuillez consulter IAMRôle d'exécution des ECS tâches Amazon.

Pour consulter les autorisations associées à cette politique, reportez-vous à la section A du mazonECSService RolePolicy manuel AWS Managed Policy Reference.

`AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`

Vous pouvez associer la AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity politique à vos IAM entités. Cette politique accorde un accès administratif à AWS Private Certificate Authority Secrets Manager et aux autres AWS services nécessaires pour gérer les TLS fonctionnalités d'Amazon ECS Service Connect en votre nom.

Pour consulter les autorisations associées à cette politique, reportez-vous à la section A du mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity manuel AWS Managed Policy Reference.

`AWSApplicationAutoscalingECSServicePolicy`

Vous ne pouvez pas joindre de AWSApplicationAutoscalingECSServicePolicy à vos entités IAM. Cette stratégie est attachée à un rôle lié à un service qui permet à Application Auto Scaling d'effectuer des actions en votre nom. Pour plus d'informations, veuillez consulter Rôles liés à un service pour scalabilité automatique d'application.

Pour consulter les autorisations associées à cette politique, reportez-vous AWSApplicationAutoscalingECSServicePolicyà la référence des politiques AWS gérées.

`AWSCodeDeployRoleForECS`

Vous ne pouvez pas joindre de AWSCodeDeployRoleForECS à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' CodeDeploy effectuer des actions en votre nom. Pour plus d'informations, consultez la section Créer un rôle de service pour CodeDeploy dans le Guide de AWS CodeDeploy l'utilisateur.

Pour consulter les autorisations associées à cette politique, reportez-vous AWSCodeDeployRoleForECSà la référence des politiques AWS gérées.

`AWSCodeDeployRoleForECSLimited`

Vous ne pouvez pas joindre de AWSCodeDeployRoleForECSLimited à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' CodeDeploy effectuer des actions en votre nom. Pour plus d'informations, consultez la section Créer un rôle de service pour CodeDeploy dans le Guide de AWS CodeDeploy l'utilisateur.

Pour consulter les autorisations associées à cette politique, reportez-vous AWSCodeDeployRoleForECSLimitedà la référence des politiques AWS gérées.

`AmazonECSInfrastructureRolePolicyForVpcLattice`

Vous pouvez associer la AmazonECSInfrastructureRolePolicyForVpcLattice politique à vos IAM entités. Cette politique donne accès aux autres ressources de AWS service nécessaires pour gérer en votre nom la fonctionnalité VPC Lattice dans les ECS charges de travail Amazon.

Pour consulter les autorisations associées à cette politique, reportez-vous à la section A du mazonECSInfrastructure RolePolicyForVpcLattice manuel AWS Managed Policy Reference.

Permet d'accéder aux autres ressources AWS de service nécessaires pour gérer la fonctionnalité VPC Lattice dans les ECS charges de travail Amazon en votre nom.

Amazon ECS met à jour AWS ses politiques gérées

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon ECS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS flux sur la page d'historique des ECS documents Amazon.

Modification	Description	Date
Ajouter un nouveau A mazonECSInfrastructure RolePolicyForVpcLattice	Permet d'accéder aux autres ressources AWS de service nécessaires pour gérer la fonctionnalité VPC Lattice dans les ECS charges de travail Amazon en votre nom.	18 novembre 2024
Ajouter des autorisations à A mazonECSInfrastructure RolePolicyForVolumes	La `AmazonECSInfrastructureRolePolicyForVolumes` politique a été mise à jour pour permettre aux clients de créer un EBS volume Amazon à partir d'un instantané.	10 octobre 2024
Autorisations ajoutées à Amazon ECS _ FullAccess	La `AmazonECS_FullAccess` politique a été mise à jour pour ajouter `iam:PassRole` des autorisations pour les IAM rôles d'un rôle nommé`ecsInfrastructureRole`. Il s'agit du IAM rôle par défaut créé par le AWS Management Console qui est destiné à être utilisé comme rôle d'ECSinfrastructure permettant ECS à Amazon de gérer les EBS volumes Amazon associés à ECS des tâches.	13 août 2024
Ajouter une nouvelle mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politique A	Ajout d'une nouvelle mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politique qui fournit un accès administratif à AWS KMS Secrets Manager et permet aux TLS fonctionnalités d'Amazon ECS Service Connect de fonctionner correctement. AWS Private Certificate Authority	22 janvier 2024
Ajouter une nouvelle politique A mazonECSInfrastructure RolePolicyForVolumes	La `AmazonECSInfrastructureRolePolicyForVolumes` politique a été ajoutée. La politique accorde les autorisations nécessaires ECS à Amazon pour passer des AWS API appels afin de gérer les EBS volumes Amazon associés aux ECS charges de travail Amazon.	11 janvier 2024
Ajouter des autorisations à A mazonECSService RolePolicy	La IAM politique `AmazonECSServiceRolePolicy` gérée a été mise à jour avec de nouvelles `events` autorisations `autoscaling` et `autoscaling-plans` autorisations supplémentaires.	4 décembre 2023
Ajouter des autorisations à Amazon EC2ContainerServiceEventsRole	La IAM politique `AmazonECSServiceRolePolicy` gérée a été mise à jour pour autoriser l'accès à l' AWS Cloud Map `DiscoverInstancesRevision`APIopération.	4 octobre 2023
Ajouter des autorisations à Amazon EC2ContainerServiceforEC2Role	La `AmazonEC2ContainerServiceforEC2Role` politique a été modifiée pour ajouter l'`ecs:TagResource`autorisation, qui inclut une condition qui limite l'autorisation uniquement aux clusters nouvellement créés et aux instances de conteneur enregistrées.	06 mars 2023
Ajouter des autorisations à Amazon ECS _ FullAccess	La `AmazonECS_FullAccess` politique a été modifiée pour ajouter l'`elasticloadbalancing:AddTags`autorisation, qui inclut une condition qui limite l'autorisation uniquement aux équilibreurs de charge, aux groupes cibles, aux règles et aux écouteurs créés récemment. Cette autorisation n'autorise pas l'ajout de balises à des ressources Elastic Load Balancing déjà créées.	4 janvier 2023
Amazon ECS a commencé à suivre les modifications	Amazon ECS a commencé à suivre les modifications apportées AWS à ses politiques gérées.	8 juin 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de politiques basées sur l’identité

AWS politiques gérées qui sont progressivement supprimées pour Amazon ECS