Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# AWS politiques gérées pour Amazon Elastic Container Service
<a name="security-iam-awsmanpol"></a>

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique **ReadOnlyAccess** AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.

Amazon ECS et Amazon ECR fournissent plusieurs stratégies gérées et relations d'approbation que vous pouvez attacher à des utilisateurs, groupes, rôles, des instances Amazon EC2 et des tâches Amazon ECS qui autorisent différents niveaux de contrôle sur les ressources et les opérations d'API. Vous pouvez appliquer ces politiques directement ou les utiliser comme points de départ pour créer vos propres politiques. Pour plus d'informations sur les stratégies gérées par Amazon ECR, veuillez consulter [Stratégies gérées par Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr_managed_policies.html).

## Amazon ECS\$1 FullAccess
<a name="security-iam-awsmanpol-AmazonECS_FullAccess"></a>

Vous pouvez associer la politique `AmazonECS_FullAccess` à vos identités IAM. Cette politique accorde un accès administratif aux ressources Amazon ECS et accorde à une identité IAM (telle qu'un utilisateur, un groupe ou un rôle) un accès aux AWS services auxquels Amazon ECS est intégré afin d'utiliser toutes les fonctionnalités d'Amazon ECS. L'utilisation de cette stratégie permet d'accéder à toutes les fonctions Amazon ECS disponibles dans la AWS Management Console.

Pour consulter les autorisations associées à cette politique, consultez [AmazonECS\$1 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) dans le manuel *AWS Managed* Policy Reference.

## Amazon ECSInfrastructure RolePolicyForVolumes
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes"></a>

Vous pouvez associer la politique gérée `AmazonECSInfrastructureRolePolicyForVolumes` à vos entités IAM.

La politique accorde les autorisations nécessaires à Amazon ECS pour effectuer des appels AWS d'API en votre nom. Vous pouvez associer cette politique au rôle IAM que vous fournissez avec la configuration de votre volume lorsque vous lancez des tâches et des services Amazon ECS. Ce rôle permet à Amazon ECS de gérer les volumes associés à vos tâches. Pour de plus amples informations, consultez la section [Rôle IAM d’infrastructure Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/infrastructure_IAM_role.html).

Pour consulter les autorisations associées à cette politique, consultez [Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html) dans le *AWS Managed Policy Reference*.

## EC2ContainerServiceforEC2Rôle Amazon
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role"></a>

Vous pouvez associer la politique `AmazonEC2ContainerServiceforEC2Role` à vos identités IAM. Cette politique accorde des autorisations administratives qui permettent aux instances de conteneur Amazon ECS de passer des appels AWS en votre nom. Pour de plus amples informations, veuillez consulter [Rôle IAM d'instance de conteneur Amazon ECS](instance_IAM_role.md).

Amazon ECS associe à cette politique une fonction de service qui permet à Amazon ECS d'effectuer des actions en votre nom sur des instances Amazon EC2 ou des instances externes.

Pour consulter les autorisations associées à cette politique, consultez [Amazon EC2 ContainerServicefor EC2 Role](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceforEC2Role.html) dans le *AWS Managed Policy Reference*.

### Considérations
<a name="instance-iam-role-considerations"></a>

Notez également les points suivants lorsque vous utilisez une politique IAM gérée par `AmazonEC2ContainerServiceforEC2Role`.
+ En suivant les conseils de sécurité standard pour accorder le moindre privilège, vous pouvez modifier la stratégie IAM gérée par `AmazonEC2ContainerServiceforEC2Role` pour répondre à vos besoins spécifiques. Si l'une des autorisations accordées dans la stratégie gérée n'est pas nécessaire pour votre cas d'utilisation, créez une stratégie personnalisée et ajoutez uniquement les autorisations dont vous avez besoin. Par exemple, l'autorisation `UpdateContainerInstancesState` est fournie pour le drainage d'instances Spot. Si cette autorisation n'est pas nécessaire pour votre cas d'utilisation, excluez-la à l'aide d'une stratégie personnalisée. 
+ Les conteneurs qui s'exécutent sur vos instances de conteneur ont accès à toutes les autorisations fournies au rôle d'instance de conteneur par le biais des [métadonnées d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html). Nous vous recommandons de limiter les autorisations dans votre rôle d'instance de conteneur à la liste minimale d'autorisations fournie dans la stratégie gérée par `AmazonEC2ContainerServiceforEC2Role` présentée ci-dessous. Si les conteneurs dans vos tâches ont besoin d'autorisations supplémentaires qui ne sont pas répertoriées ici, nous vous recommandons de fournir leurs propres rôles IAM à ces tâches. Pour de plus amples informations, veuillez consulter [rôle IAM de tâche Amazon ECS](task-iam-roles.md).

  Vous pouvez empêcher les conteneurs du bridge `docker0` d'accéder aux autorisations fournies au rôle de l'instance de conteneur, et ce tout en autorisant les autorisations fournies par [rôle IAM de tâche Amazon ECS](task-iam-roles.md) en exécutant la commande **iptables** suivante sur vos instances de conteneur. Les conteneurs ne peuvent pas interroger les métadonnées d'instance lorsque cette règle est en vigueur. Notez que cette commande suppose une configuration bridge Docker par défaut et ne fonctionnera pas avec les conteneurs qui utilisent le mode réseau `host`. Pour de plus amples informations, veuillez consulter [Mode réseau](task_definition_parameters.md#network_mode).

  ```
  sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
  ```

  Pour garantir le maintien de la règle **iptables** après un redémarrage, vous devez l'enregistrer sur votre instance de conteneur. Pour l'AMI optimisée pour Amazon ECS utilisez la commande qui suit. Pour les autres systèmes d'exploitation, consultez la documentation correspondante.
  + Pour l'AMI Amazon Linux 2 optimisée pour Amazon ECS :

    ```
    sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
    ```
  + Pour l'AMI Amazon Linux optimisée pour Amazon ECS :

    ```
    sudo service iptables save
    ```

## Amazon EC2 ContainerServiceEventsRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole"></a>

Vous pouvez associer la politique `AmazonEC2ContainerServiceEventsRole` à vos identités IAM. Cette politique accorde des autorisations qui permettent à Amazon EventBridge (anciennement CloudWatch Events) d'exécuter des tâches en votre nom. Cette stratégie peut être attachée au rôle IAM spécifié lorsque vous créez des tâches planifiées. Pour de plus amples informations, veuillez consulter [Rôle EventBridge IAM d'Amazon ECS](CWE_IAM_role.md).

Pour consulter les autorisations associées à cette politique, consultez [Amazon EC2 ContainerServiceEventsRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceEventsRole.html) dans le *AWS Managed Policy Reference*.

## Amazon ECSTask ExecutionRolePolicy
<a name="security-iam-awsmanpol-AmazonECSTaskExecutionRolePolicy"></a>

La politique IAM `AmazonECSTaskExecutionRolePolicy` gérée accorde les autorisations nécessaires à l'agent de conteneur Amazon ECS et aux agents de AWS Fargate conteneur pour effectuer des appels d' AWS API en votre nom. Cette stratégie peut être ajoutée à votre rôle IAM d'exécution de tâche. Pour de plus amples informations, veuillez consulter [Rôle IAM d'exécution de tâche Amazon ECS](task_execution_IAM_role.md).

Pour consulter les autorisations associées à cette politique, consultez [Amazon ECSTask ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSTaskExecutionRolePolicy.html) dans le *AWS Managed Policy Reference*.

## Amazon ECSService RolePolicy
<a name="security-iam-awsmanpol-AmazonECSServiceRolePolicy"></a>

La politique IAM gérée `AmazonECSServiceRolePolicy` permet à Amazon Elastic Container Service de gérer votre cluster. Cette politique peut être ajoutée à votre rôle lié au service [AWSServiceRoleForECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using-service-linked-roles-for-clusters.html#service-linked-role-permissions-clusters). 

Pour consulter les autorisations associées à cette politique, consultez [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSServiceRolePolicy.html) dans le *AWS Managed Policy Reference*.

## `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity"></a>

Vous pouvez associer la politique `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` à vos entités IAM. Cette politique accorde un accès administratif à AWS Autorité de certification privée Secrets Manager et aux autres AWS services nécessaires pour gérer les fonctionnalités TLS d'Amazon ECS Service Connect en votre nom.

Pour consulter les autorisations associées à cette politique, consultez [Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html) dans le *AWS Managed Policy Reference*.

## `AWSApplicationAutoscalingECSServicePolicy`
<a name="security-iam-awsmanpol-AWSApplicationAutoscalingECSServicePolicy"></a>

Vous ne pouvez pas joindre de `AWSApplicationAutoscalingECSServicePolicy` à vos entités IAM. Cette stratégie est attachée à un rôle lié à un service qui permet à Application Auto Scaling d'effectuer des actions en votre nom. Pour plus d'informations, veuillez consulter [Rôles liés à un service pour scalabilité automatique d'application](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html).

Pour consulter les autorisations associées à cette politique, consultez la section Politique de [AWSApplicationmise à l'échelle automatique ECSService](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingECSServicePolicy.html) dans le manuel *AWS Managed Policy Reference*.

## `AWSCodeDeployRoleForECS`
<a name="security-iam-awsmanpol-AWSCodeDeployRoleForECS"></a>

Vous ne pouvez pas joindre de `AWSCodeDeployRoleForECS` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' CodeDeploy effectuer des actions en votre nom. Pour plus d'informations, consultez la section [Créer un rôle de service pour CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html) dans le *Guide de AWS CodeDeploy l'utilisateur*.

Pour consulter les autorisations associées à cette politique, consultez [AWSCodeDeployRoleForECS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECS.html) dans le manuel *AWS Managed Policy Reference*.

## `AWSCodeDeployRoleForECSLimited`
<a name="security-iam-awsmanpol-AWSCodeDeployRoleForECSLimited"></a>

Vous ne pouvez pas joindre de `AWSCodeDeployRoleForECSLimited` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' CodeDeploy effectuer des actions en votre nom. Pour plus d'informations, consultez la section [Créer un rôle de service pour CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html) dans le *Guide de AWS CodeDeploy l'utilisateur*.

Pour voir les autorisations de cette stratégie, consultez [AWSCodeDeployRoleForECSLimited](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECSLimited.html) dans le *AWS Guide de référence des stratégies gérées par*.

## `AmazonECSInfrastructureRolePolicyForLoadBalancers`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers"></a>

Vous pouvez associer la politique `AmazonECSInfrastructureRolePolicyForLoadBalancers` à vos entités IAM. Cette politique accorde des autorisations qui permettent à Amazon ECS de gérer les ressources Elastic Load Balancing en votre nom. La politique inclut :
+ les autorisations en lecture seule pour décrire les écouteurs, les règles, les groupes cibles et l’état des cibles ;
+ les autorisations pour enregistrer et annuler l’enregistrement des cibles auprès de groupes cibles ;
+ les autorisations de modification des écouteurs pour les Application Load Balancer et Network Load Balancer ;
+ les autorisations permettant de modifier les règles pour les Application Load Balancer.

Ces autorisations permettent à Amazon ECS de gérer automatiquement les configurations de l’équilibreur de charge lors de la création ou de la mise à jour des services, garantissant ainsi le bon acheminement du trafic vers vos conteneurs.

Pour consulter les autorisations associées à cette politique, consultez [Amazon ECSInfrastructure RolePolicyForLoadBalancers](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForLoadBalancers.html) dans le *AWS Managed Policy Reference*.

## `AmazonECSInfrastructureRolePolicyForManagedInstances`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances"></a>

Vous pouvez associer la politique `AmazonECSInfrastructureRolePolicyForManagedInstances` à vos entités IAM. Cette politique accorde les autorisations requises par Amazon ECS pour créer et mettre à jour les ressources Amazon EC2 pour les instances gérées par ECS en votre nom. La politique inclut :
+ les autorisations de création et de gestion de modèles de lancement Amazon EC2 pour les instances gérées ;
+ Autorisations pour approvisionner des instances Amazon EC2 à l'aide et CreateFleet RunInstances
+ les autorisations pour créer et gérer des balises sur les ressources Amazon EC2 créées par ECS ;
+ les autorisations permettant de transmettre des rôles IAM aux instances Amazon EC2 pour les instances gérées ;
+ les autorisations pour créer des rôles liés à un service pour les instances Spot Amazon EC2 ;
+ Autorisations en lecture seule pour décrire les ressources Amazon EC2, notamment les instances, les types d'instances, les modèles de lancement, les interfaces réseau, les zones de disponibilité, les groupes de sécurité, les sous-réseaux, les VPC, les images EC2 et les réservations de capacité
+ Autorisations en lecture seule pour répertorier les ResourceGroups ressources Amazon, ce qui nécessite des autorisations sous-jacentes pour obtenir des ressources balisées et répertorier les ressources Amazon Stack CloudFormation 

Ces autorisations permettent à Amazon ECS d’allouer et de gérer automatiquement des instances Amazon EC2 pour vos instances gérées ECS, garantissant ainsi une configuration et une gestion du cycle de vie appropriées des ressources de calcul sous-jacentes.

Pour consulter les autorisations associées à cette politique, consultez [Amazon ECSInfrastructure RolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html) dans le *AWS Managed Policy Reference*.

## `AmazonECSInfrastructureRolePolicyForVpcLattice`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice"></a>

Vous pouvez associer la politique `AmazonECSInfrastructureRolePolicyForVpcLattice` à vos entités IAM. Cette politique donne accès aux autres ressources de AWS service nécessaires pour gérer en votre nom la fonctionnalité VPC Lattice dans les charges de travail Amazon ECS.

Pour consulter les autorisations associées à cette politique, consultez [Amazon ECSInfrastructure RolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html) dans le *AWS Managed Policy Reference*.

Permet d'accéder aux autres ressources AWS de service nécessaires pour gérer la fonctionnalité VPC Lattice dans les charges de travail Amazon ECS en votre nom.

## `AmazonECSInfrastructureRoleforExpressGatewayServices`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices"></a>

Vous pouvez associer la politique `AmazonECSInfrastructureRoleforExpressGatewayServices` à vos entités IAM. Cette politique accorde les autorisations requises par Amazon ECS pour créer et mettre à jour des applications Web à l'aide d'Express Services en votre nom. La politique inclut :
+ Autorisations permettant de créer des rôles liés à un service pour Amazon ECS Application Auto Scaling
+ Autorisations permettant de créer, de modifier et de supprimer des équilibreurs de charge d'application, des écouteurs, des règles et des groupes cibles
+ Autorisations permettant de créer, de modifier et de supprimer des groupes de sécurité VPC pour les ressources gérées par ECS
+ Autorisations pour demander, gérer et supprimer des SSL/TLS certificats via ACM
+ Autorisations pour configurer les politiques et les cibles d'Application Auto Scaling pour les services Amazon ECS
+ Autorisations permettant de créer et de gérer des CloudWatch alarmes pour les déclencheurs de mise à l'échelle automatique
+ Autorisations en lecture seule pour décrire les équilibreurs de charge, les ressources VPC, les certificats, les configurations de dimensionnement automatique et les alarmes CloudWatch 

Ces autorisations permettent à Amazon ECS de provisionner et de gérer automatiquement les composants d'infrastructure requis pour les applications Web Express Services, notamment l'équilibrage de charge, les groupes de sécurité, les certificats SSL et les configurations de dimensionnement automatique.

Pour consulter les autorisations associées à cette politique, consultez [Amazon ECSInfrastructure RoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html) dans le *AWS Managed Policy Reference*.

## `AmazonECSComputeServiceRolePolicy`
<a name="security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy"></a>

La `AmazonECSComputeServiceRolePolicy` politique est associée au rôle ECSCompute ServiceRole lié au service Amazon. Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour gérer les instances gérées Amazon ECS](using-service-linked-roles-instances.md).

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d’effectuer les tâches suivantes :
+ Amazon ECS peut décrire et supprimer des modèles de lancement.
+  Amazon ECS peut décrire et supprimer les versions des modèles de lancement.
+ Amazon ECS peut mettre fin à des instances.
+ Amazon ECS peut décrire les paramètres de données d’instance suivants :
  + Instance
  + Interfaces réseau d’instance : Amazon ECS peut décrire les interfaces permettant de gérer le cycle de vie des instances EC2.
  + Fenêtre d’événements d’instance : Amazon ECS peut décrire les informations de la fenêtre d’événements afin de déterminer si le flux de travail peut être interrompu pour appliquer des correctifs à l’instance.
  + État de l’instance : Amazon ECS peut décrire l’état de l’instance afin de surveiller son état.

Pour consulter les autorisations associées à cette politique, consultez [Amazon ECSCompute ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSComputeServiceRolePolicy.html) dans le *AWS Managed Policy Reference*.

## `AmazonECSInstanceRolePolicyForManagedInstances`
<a name="security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances"></a>

La politique `AmazonECSInstanceRolePolicyForManagedInstances` autorise les instances gérées Amazon ECS à s’enregistrer auprès des clusters Amazon ECS et à communiquer avec le service Amazon ECS.

Cette politique inclut les autorisations suivantes permettant à Amazon EKS d’effectuer les tâches suivantes :
+ Enregistrement et annulation de l’enregistrement auprès des clusters Amazon ECS.
+ Soumission des modifications d’état des instances de conteneur.
+ Soumission des modifications de l’état des tâches.
+ Découverte des points de terminaison de sondage pour l’agent Amazon ECS.

Pour consulter les autorisations associées à cette politique, consultez [Amazon ECSInstance RolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInstanceRolePolicyForManagedInstances.html) dans le *AWS Managed Policy Reference*.

## Amazon ECS met à jour les politiques AWS gérées
<a name="security-iam-awsmanpol-updates"></a>

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon ECS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS dans la page de l'historique des documents Amazon ECS.

 


| Modifier | Description | Date | 
| --- | --- | --- | 
|   `AmazonECSInfrastructureRolePolicyForManagedInstances`Politique de mise à jour   |  La `AmazonECSInfrastructureRolePolicyForManagedInstances` politique a été mise à jour avec les autorisations suivantes pour prendre en charge les réservations de capacité sur les instances gérées Amazon ECS : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonECS/latest/developerguide/security-iam-awsmanpol.html)  | 24 février 2026 | 
|  Ajoutez des autorisations à [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | La politique IAM gérée AmazonECSServiceRolePolicy a été mise à jour pour inclure l’autorisation ssmmessages:OpenDataChannel. Cette autorisation permet à Amazon ECS d'ouvrir des canaux de données pour les sessions ECS Exec. | 20 janvier 2026 | 
|   `AmazonECSInfrastructureRolePolicyForManagedInstances`Politique de mise à jour   |  La `AmazonECSInfrastructureRolePolicyForManagedInstances` politique a été mise à jour pour modifier les `CreateFleet` autorisations. Les conditions basées sur les ressources pour les sous-réseaux, les groupes de sécurité et les images EC2 ont été supprimées pour les raisons suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonECS/latest/developerguide/security-iam-awsmanpol.html) Cette modification garantit que la politique fonctionne correctement avec les ressources dépourvues des balises de gestion ECS attendues.   | 15 décembre 2025 | 
|  Ajoutez des autorisations à [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | La politique IAM AmazonECSServiceRolePolicy gérée a été mise à jour avec de nouvelles autorisations Amazon EC2 qui permettent à Amazon ECS de récupérer les fenêtres d'événements Amazon EC2 pour les services et les clusters associés aux fenêtres d'événements. | 20 novembre 2025 | 
|  Ajoutez des autorisations à [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | La politique IAM AmazonECSServiceRolePolicy gérée a été mise à jour avec de nouvelles autorisations Amazon EC2 qui permettent à Amazon ECS de provisionner et de déprovisionner la tâche ENI. | 14 novembre 2025 | 
|  Mettre à jour la ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politique [d'Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity)   | Mise à jour de la politique IAM ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity gérée par Amazon afin de séparer l'DescribeSecret autorisation secretsmanager : dans sa propre déclaration de politique. L'autorisation continue d'étendre l'accès d'Amazon ECS exclusivement aux secrets créés par Amazon ECS et utilise la correspondance de modèles d'ARN au lieu de balises de ressources pour la délimitation. Cela permet à Amazon ECS de surveiller l'état du secret tout au long de son cycle de vie, y compris lorsqu'un secret a été supprimé. | 13 novembre 2025 | 
|  Ajout de la nouvelle politique [`AmazonECSInfrastructureRoleforExpressGatewayServices`](#security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices)  | Ajout d'une nouvelle ECSInfrastructure RoleforExpressGatewayServices politique Amazon qui fournit un accès Amazon ECS pour créer et gérer des applications Web à l'aide d'Express Services. | 21 novembre 2025 | 
|  Ajout de la nouvelle politique [`AmazonECSInstanceRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances)  | Ajout d'une nouvelle ECSInstance RolePolicyForManagedInstances politique Amazon qui autorise les instances gérées Amazon ECS à s'enregistrer auprès des clusters Amazon ECS. | 30 septembre 2025 | 
|  Ajout de la nouvelle politique [`AmazonECSInfrastructureRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances)  | Ajout d'une nouvelle InfrastructureRolePolicyForManagedInstances politique AmazonECS qui fournit un accès Amazon ECS pour créer et gérer les ressources gérées par Amazon EC2. | 30 septembre 2025 | 
|  Ajouter un nouvel [Amazon ECSCompute ServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy)  | Permet à Amazon ECS de gérer vos instances gérées Amazon ECS et les ressources associées. | 31 août 2025 | 
|  Ajouter des autorisations à [EC2ContainerServiceforEC2Rôle Amazon](#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role)   | La politique IAM gérée AmazonEC2ContainerServiceforEC2Role a été mise à jour pour inclure l’autorisation ecs:ListTagsForResource. Cette autorisation permet à l’agent Amazon ECS de récupérer les balises des tâches et des instances de conteneurs via le point de terminaison des métadonnées de tâche (\$1\$1ECS\$1CONTAINER\$1METADATA\$1URI\$1V4\$1/taskWithTags). | 4 août 2025 | 
|  Ajoutez des autorisations à [Amazon ECSInfrastructure RolePolicyForLoadBalancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers).  | La politique IAM gérée AmazonECSInfrastructureRolePolicyForLoadBalancers a été mise à jour avec de nouvelles autorisations pour la description, l’annulation d’enregistrement et l’enregistrement des groupes cibles. | 25 juillet 2025 | 
|  Ajout de la nouvelle politique [`AmazonECSInfrastructureRolePolicyForLoadBalancers`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers)  |  Ajout d'une nouvelle ECSInfrastructure RolePolicyForLoadBalancers politique Amazon qui fournit l'accès aux autres ressources de AWS service nécessaires pour gérer les équilibreurs de charge associés aux charges de travail Amazon ECS.  | 15 juillet 2025 | 
|  Ajoutez des autorisations à [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | La politique IAM gérée AmazonECSServiceRolePolicy a été mise à jour avec de nouvelles autorisations AWS Cloud Map permettant à Amazon ECS de mettre à jour les attributs du service AWS Cloud Map pour les services gérés par Amazon ECS. | 15 juillet 2025 | 
|  Ajouter des autorisations à [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)  | La politique IAM gérée AmazonECSServiceRolePolicy a été mise à jour avec de nouvelles autorisations AWS Cloud Map permettant à Amazon ECS de mettre à jour les attributs du service AWS Cloud Map pour les services gérés par Amazon ECS. | 24 juin 2025 | 
|  Ajouter des autorisations à [Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | La politique AmazonECSInfrastructureRolePolicyForVolumes a été mise à jour pour ajouter l’autorisation ec2:DescribeInstances. Cette autorisation permet d’éviter les conflits de noms d’appareils pour les volumes Amazon EBS attachés à des tâches Amazon ECS exécutées sur la même instance de conteneur. | 2 juin 2025 | 
|  Ajouter un nouvel [Amazon ECSInfrastructure RolePolicyForVpcLattice](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice)  | Permet d'accéder aux autres ressources AWS de service nécessaires pour gérer la fonctionnalité VPC Lattice dans les charges de travail Amazon ECS en votre nom. | 18 novembre 2024 | 
|  Ajouter des autorisations à [Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | La politique AmazonECSInfrastructureRolePolicyForVolumes a été mise à jour pour permettre aux clients de créer un volume Amazon EBS à partir d’un instantané. | 10 octobre 2024 | 
|  Autorisations ajoutées à [Amazon ECS\$1 FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess)  |  La politique AmazonECS\$1FullAccess a été mise à jour pour ajouter des autorisations iam:PassRole pour les rôles IAM pour un rôle nommé ecsInfrastructureRole. Il s'agit du rôle IAM par défaut créé par le AWS Management Console et destiné à être utilisé comme rôle d'infrastructure ECS permettant à Amazon ECS de gérer les volumes Amazon EBS attachés aux tâches ECS. | 13 août 2024 | 
|  Ajouter une nouvelle ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politique [Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity)  |  Ajout d'une nouvelle ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politique Amazon qui fournit un accès administratif à AWS KMS Secrets Manager et permet aux fonctionnalités TLS d'Amazon ECS Service Connect de fonctionner correctement. AWS Autorité de certification privée  | 22 janvier 2024 | 
|  Ajouter une nouvelle politique [Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | La politique AmazonECSInfrastructureRolePolicyForVolumes a été ajoutée. La politique accorde les autorisations nécessaires à Amazon ECS pour effectuer des appels d' AWS API afin de gérer les volumes Amazon EBS associés aux charges de travail Amazon ECS. | 11 janvier 2024 | 
|  Ajouter des autorisations à [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)  | La politique IAM gérée AmazonECSServiceRolePolicy a été mise à jour avec de nouvelles autorisations events et des autorisations supplémentaires autoscaling et autoscaling-plans. | 4 décembre 2023 | 
|  Ajouter des autorisations à [Amazon EC2 ContainerServiceEventsRole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole)  | La politique IAM AmazonECSServiceRolePolicy gérée a été mise à jour pour autoriser l'accès au fonctionnement de l' AWS Cloud Map DiscoverInstancesRevisionAPI. | 4 octobre 2023 | 
|  Ajouter des autorisations à [Amazon EC2 ContainerServicefor EC2 Role](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role)  | La politique AmazonEC2ContainerServiceforEC2Role a été modifiée pour ajouter l’autorisation ecs:TagResource qui inclut une condition qui limite l’autorisation uniquement aux clusters nouvellement créés et aux instances de conteneur enregistrées. | 06 mars 2023 | 
|  Ajouter des autorisations à [Amazon ECS\$1 FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess)  | La politique AmazonECS\$1FullAccess a été modifiée pour ajouter l’autorisation elasticloadbalancing:AddTags, qui inclut une condition qui limite l’autorisation uniquement aux équilibreurs de charge, aux groupes cibles, aux règles et aux écouteurs créés récemment. Cette autorisation n'autorise pas l'ajout de balises à des ressources Elastic Load Balancing déjà créées. | 4 janvier 2023 | 
|  Amazon ECS a commencé à assurer le suivi des modifications  |  Amazon ECS a commencé à suivre les modifications apportées AWS à ses politiques gérées.  | 8 juin 2021 |