Amazon ECS_ FullAccess Amazon ECSInfrastructure RolePolicyForVolumes EC2ContainerServiceforEC2Rôle Amazon Amazon EC2 ContainerServiceEventsRole Amazon ECSTask ExecutionRolePolicy Amazon ECSService RolePolicy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity AWSApplicationAutoscalingECSServicePolicy AWSCodeDeployRoleForECS AWSCodeDeployRoleForECSLimited AmazonECSInfrastructureRolePolicyForVpcLattice Mises à jour des politiques

AWS politiques gérées pour Amazon Elastic Container Service

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le guide de l'utilisateur IAM.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.

Amazon ECS et Amazon ECR fournissent plusieurs politiques gérées et relations de confiance que vous pouvez associer aux utilisateurs, aux groupes, aux rôles, aux EC2 instances Amazon et aux tâches Amazon ECS qui permettent différents niveaux de contrôle sur les ressources et les opérations d'API. Vous pouvez appliquer ces politiques directement ou les utiliser comme points de départ pour créer vos propres politiques. Pour plus d'informations sur les stratégies gérées par Amazon ECR, veuillez consulter Stratégies gérées par Amazon ECR.

Amazon ECS_ FullAccess

Vous pouvez associer la politique AmazonECS_FullAccess à vos identités IAM. Cette politique accorde un accès administratif aux ressources Amazon ECS et accorde à une identité IAM (telle qu'un utilisateur, un groupe ou un rôle) un accès aux AWS services auxquels Amazon ECS est intégré afin d'utiliser toutes les fonctionnalités d'Amazon ECS. L'utilisation de cette stratégie permet d'accéder à toutes les fonctions Amazon ECS disponibles dans la AWS Management Console.

Pour consulter les autorisations associées à cette politique, consultez AmazonECS_ FullAccess dans le manuel AWS Managed Policy Reference.

Amazon ECSInfrastructure RolePolicyForVolumes

Vous pouvez associer la politique AmazonECSInfrastructureRolePolicyForVolumes gérée à vos entités IAM.

La politique accorde les autorisations nécessaires à Amazon ECS pour effectuer des appels AWS d'API en votre nom. Vous pouvez associer cette politique au rôle IAM que vous fournissez avec la configuration de votre volume lorsque vous lancez des tâches et des services Amazon ECS. Ce rôle permet à Amazon ECS de gérer les volumes associés à vos tâches. Pour plus d'informations, consultez le rôle IAM de l'infrastructure Amazon ECS.

Pour consulter les autorisations associées à cette politique, consultez Amazon ECSInfrastructure RolePolicyForVolumes dans le AWS Managed Policy Reference.

EC2ContainerServiceforEC2Rôle Amazon

Vous pouvez associer la politique AmazonEC2ContainerServiceforEC2Role à vos identités IAM. Cette politique accorde des autorisations administratives qui permettent aux instances de conteneur Amazon ECS de passer des appels AWS en votre nom. Pour de plus amples informations, veuillez consulter Rôle IAM d'instance de conteneur Amazon ECS.

Amazon ECS associe cette politique à un rôle de service qui permet à Amazon ECS d'effectuer des actions en votre nom contre des EC2 instances Amazon ou des instances externes.

Pour consulter les autorisations associées à cette politique, consultez Amazon EC2 ContainerServicefor EC2 Role dans le AWS Managed Policy Reference.

Considérations

Notez également les points suivants lorsque vous utilisez une politique IAM gérée par AmazonEC2ContainerServiceforEC2Role.

En suivant les conseils de sécurité standard pour accorder le moindre privilège, vous pouvez modifier la stratégie IAM gérée par AmazonEC2ContainerServiceforEC2Role pour répondre à vos besoins spécifiques. Si l'une des autorisations accordées dans la stratégie gérée n'est pas nécessaire pour votre cas d'utilisation, créez une stratégie personnalisée et ajoutez uniquement les autorisations dont vous avez besoin. Par exemple, l'autorisation UpdateContainerInstancesState est fournie pour le drainage d'instances Spot. Si cette autorisation n'est pas nécessaire pour votre cas d'utilisation, excluez-la à l'aide d'une stratégie personnalisée.
Les conteneurs qui s'exécutent sur vos instances de conteneur ont accès à toutes les autorisations fournies au rôle d'instance de conteneur par le biais des métadonnées d'instance. Nous vous recommandons de limiter les autorisations dans votre rôle d'instance de conteneur à la liste minimale d'autorisations fournie dans la stratégie gérée par AmazonEC2ContainerServiceforEC2Role présentée ci-dessous. Si les conteneurs dans vos tâches ont besoin d'autorisations supplémentaires qui ne sont pas répertoriées ici, nous vous recommandons de fournir leurs propres rôles IAM à ces tâches. Pour de plus amples informations, veuillez consulter Rôle IAM de la tâche Amazon ECS.

Vous pouvez empêcher les conteneurs du bridge docker0 d'accéder aux autorisations fournies au rôle de l'instance de conteneur, et ce tout en autorisant les autorisations fournies par Rôle IAM de la tâche Amazon ECS en exécutant la commande iptables suivante sur vos instances de conteneur. Les conteneurs ne peuvent pas interroger les métadonnées d'instance lorsque cette règle est en vigueur. Notez que cette commande suppose une configuration bridge Docker par défaut et ne fonctionnera pas avec les conteneurs qui utilisent le mode réseau host. Pour de plus amples informations, veuillez consulter Mode réseau.
```
sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
```
Pour garantir le maintien de la règle iptables après un redémarrage, vous devez l'enregistrer sur votre instance de conteneur. Pour l'AMI optimisée pour Amazon ECS utilisez la commande qui suit. Pour les autres systèmes d'exploitation, consultez la documentation correspondante.
- Pour l'AMI Amazon Linux 2 optimisée pour Amazon ECS :
```
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
```
- Pour l'AMI Amazon Linux optimisée pour Amazon ECS :
```
sudo service iptables save
```

Amazon EC2 ContainerServiceEventsRole

Vous pouvez associer la politique AmazonEC2ContainerServiceEventsRole à vos identités IAM. Cette politique accorde des autorisations qui permettent à Amazon EventBridge (anciennement CloudWatch Events) d'exécuter des tâches en votre nom. Cette stratégie peut être attachée au rôle IAM spécifié lorsque vous créez des tâches planifiées. Pour de plus amples informations, veuillez consulter Rôle EventBridge IAM Amazon ECS.

Pour consulter les autorisations associées à cette politique, consultez Amazon EC2 ContainerServiceEventsRole dans le AWS Managed Policy Reference.

Amazon ECSTask ExecutionRolePolicy

La politique IAM AmazonECSTaskExecutionRolePolicy gérée accorde les autorisations nécessaires à l'agent de conteneur Amazon ECS et aux agents de AWS Fargate conteneur pour effectuer des appels d' AWS API en votre nom. Cette stratégie peut être ajoutée à votre rôle IAM d'exécution de tâche. Pour de plus amples informations, veuillez consulter Rôle IAM d'exécution de tâche Amazon ECS.

Pour consulter les autorisations associées à cette politique, consultez Amazon ECSTask ExecutionRolePolicy dans le AWS Managed Policy Reference.

Amazon ECSService RolePolicy

La politique IAM gérée AmazonECSServiceRolePolicy permet à Amazon Elastic Container Service de gérer votre cluster. Cette stratégie peut être ajoutée à votre rôle IAM d'exécution de tâche. Pour de plus amples informations, veuillez consulter Rôle IAM d'exécution de tâche Amazon ECS.

Pour consulter les autorisations associées à cette politique, consultez Amazon ECSService RolePolicy dans le AWS Managed Policy Reference.

`AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`

Vous pouvez associer la politique AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity à vos entités IAM. Cette politique accorde un accès administratif à AWS Private Certificate Authority Secrets Manager et aux autres AWS services nécessaires pour gérer les fonctionnalités TLS d'Amazon ECS Service Connect en votre nom.

Pour consulter les autorisations associées à cette politique, consultez Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity dans le AWS Managed Policy Reference.

`AWSApplicationAutoscalingECSServicePolicy`

Vous ne pouvez pas joindre de AWSApplicationAutoscalingECSServicePolicy à vos entités IAM. Cette stratégie est attachée à un rôle lié à un service qui permet à Application Auto Scaling d'effectuer des actions en votre nom. Pour plus d'informations, veuillez consulter Rôles liés à un service pour scalabilité automatique d'application.

Pour consulter les autorisations associées à cette politique, consultez la section Politique de AWSApplicationmise à l'échelle automatique ECSService dans le manuel AWS Managed Policy Reference.

`AWSCodeDeployRoleForECS`

Vous ne pouvez pas joindre de AWSCodeDeployRoleForECS à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' CodeDeploy effectuer des actions en votre nom. Pour plus d'informations, consultez la section Créer un rôle de service pour CodeDeploy dans le Guide de AWS CodeDeploy l'utilisateur.

Pour consulter les autorisations associées à cette politique, consultez AWSCodeDeployRoleForECS dans le manuel AWS Managed Policy Reference.

`AWSCodeDeployRoleForECSLimited`

Vous ne pouvez pas joindre de AWSCodeDeployRoleForECSLimited à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' CodeDeploy effectuer des actions en votre nom. Pour plus d'informations, consultez la section Créer un rôle de service pour CodeDeploy dans le Guide de AWS CodeDeploy l'utilisateur.

Pour voir les autorisations de cette stratégie, consultez AWSCodeDeployRoleForECSLimited dans le AWS Guide de référence des stratégies gérées par.

`AmazonECSInfrastructureRolePolicyForVpcLattice`

Vous pouvez associer la politique AmazonECSInfrastructureRolePolicyForVpcLattice à vos entités IAM. Cette politique donne accès aux autres ressources de AWS service nécessaires pour gérer en votre nom la fonctionnalité VPC Lattice dans les charges de travail Amazon ECS.

Pour consulter les autorisations associées à cette politique, consultez Amazon ECSInfrastructure RolePolicyForVpcLattice dans le AWS Managed Policy Reference.

Permet d'accéder aux autres ressources AWS de service nécessaires pour gérer la fonctionnalité VPC Lattice dans les charges de travail Amazon ECS en votre nom.

Amazon ECS met à jour les politiques AWS gérées

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon ECS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS dans la page de l'historique des documents Amazon ECS.

Modification	Description	Date
Ajouter un nouvel Amazon ECSInfrastructure RolePolicyForVpcLattice	Permet d'accéder aux autres ressources AWS de service nécessaires pour gérer la fonctionnalité VPC Lattice dans les charges de travail Amazon ECS en votre nom.	18 novembre 2024
Ajouter des autorisations à Amazon ECSInfrastructure RolePolicyForVolumes	La `AmazonECSInfrastructureRolePolicyForVolumes` politique a été mise à jour pour permettre aux clients de créer un volume Amazon EBS à partir d'un instantané.	10 octobre 2024
Autorisations ajoutées à Amazon ECS_ FullAccess	La `AmazonECS_FullAccess` politique a été mise à jour pour ajouter `iam:PassRole` des autorisations pour les rôles IAM pour un rôle nommé`ecsInfrastructureRole`. Il s'agit du rôle IAM par défaut créé par le AWS Management Console et destiné à être utilisé comme rôle d'infrastructure ECS permettant à Amazon ECS de gérer les volumes Amazon EBS attachés aux tâches ECS.	13 août 2024
Ajouter une nouvelle ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politique Amazon	Ajout d'une nouvelle ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politique Amazon qui fournit un accès administratif à AWS KMS Secrets Manager et permet aux fonctionnalités TLS d'Amazon ECS Service Connect de fonctionner correctement. AWS Private Certificate Authority	22 janvier 2024
Ajouter une nouvelle politique Amazon ECSInfrastructure RolePolicyForVolumes	La `AmazonECSInfrastructureRolePolicyForVolumes` politique a été ajoutée. La politique accorde les autorisations nécessaires à Amazon ECS pour effectuer des appels d' AWS API afin de gérer les volumes Amazon EBS associés aux charges de travail Amazon ECS.	11 janvier 2024
Ajouter des autorisations à Amazon ECSService RolePolicy	La politique IAM `AmazonECSServiceRolePolicy` gérée a été mise à jour avec de nouvelles `events` autorisations `autoscaling` et `autoscaling-plans` autorisations supplémentaires.	4 décembre 2023
Ajouter des autorisations à Amazon EC2 ContainerServiceEventsRole	La politique IAM `AmazonECSServiceRolePolicy` gérée a été mise à jour pour autoriser l'accès au fonctionnement de l' AWS Cloud Map `DiscoverInstancesRevision`API.	4 octobre 2023
Ajouter des autorisations à Amazon EC2 ContainerServicefor EC2 Role	La `AmazonEC2ContainerServiceforEC2Role` politique a été modifiée pour ajouter l'`ecs:TagResource`autorisation, qui inclut une condition qui limite l'autorisation uniquement aux clusters nouvellement créés et aux instances de conteneur enregistrées.	06 mars 2023
Ajouter des autorisations à Amazon ECS_ FullAccess	La `AmazonECS_FullAccess` politique a été modifiée pour ajouter l'`elasticloadbalancing:AddTags`autorisation, qui inclut une condition qui limite l'autorisation uniquement aux équilibreurs de charge, aux groupes cibles, aux règles et aux écouteurs créés récemment. Cette autorisation n'autorise pas l'ajout de balises à des ressources Elastic Load Balancing déjà créées.	4 janvier 2023
Amazon ECS a commencé à assurer le suivi des modifications	Amazon ECS a commencé à suivre les modifications apportées AWS à ses politiques gérées.	8 juin 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de politiques basées sur l’identité

AWS politiques gérées qui sont progressivement supprimées pour Amazon ECS