Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon Elastic Container Service
Amazon Elastic Container Service (préfixe de service : ecs) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes en vue de leur utilisation dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par Amazon Elastic Container Service
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| CreateCapacityProvider | Accorde l'autorisation de créer un fournisseur de capacité. Les fournisseurs de capacité sont associés à un cluster Amazon ECS et sont utilisés dans les stratégies de fournisseurs de capacité pour faciliter la mise à l'échelle automatique d'un cluster. | Écriture | |||
| CreateCluster | Accorde l'autorisation de créer un cluster Amazon ECS. | Écriture | |||
| CreateService | Accorde l'autorisation d'exécuter et de maintenir un nombre souhaité de tâches à partir d'une définition de tâche spécifiée via la création de services. | Écriture | |||
| CreateTaskSet | Accorde l'autorisation de créer un ensemble de tâches Amazon ECS. | Écriture | |||
| DeleteAccountSetting | Accorde l'autorisation de modifier le format de l'ARN et de l'ID de ressource d'une ressource pour un utilisateur IAM spécifié, un rôle IAM ou l'utilisateur racine d'un compte. Vous pouvez spécifier si le nouvel ARN et le nouveau format d'ID de ressource sont désactivés pour les ressources qui sont créées. | Écriture | |||
| DeleteAttributes | Accorde l'autorisation de supprimer un ou plusieurs attributs personnalisés d'une ressource Amazon ECS. | Écriture | |||
| DeleteCapacityProvider | Accorde l'autorisation de supprimer le fournisseur de capacité spécifié. | Écriture | |||
| DeleteCluster | Accorde l'autorisation de supprimer le cluster spécifié. | Écriture | |||
| DeleteService | Accorde l'autorisation de supprimer un service spécifié au sein d'un cluster. | Écrire | |||
| DeleteTaskDefinitions | Accorde l'autorisation d'annuler l'enregistrement de la définition de tâche spécifiée par famille et par révision. | Écrire | |||
| DeleteTaskSet | Accorde l'autorisation de supprimer l'ensemble de tâches spécifié. | Écriture | |||
| DeregisterContainerInstance | Accorde l'autorisation d'annuler l'enregistrement d'une instance de conteneur Amazon ECS du cluster spécifié. | Écriture | |||
| DeregisterTaskDefinition | Accorde l'autorisation d'annuler l'enregistrement de la définition de tâche spécifiée par famille et par révision. | Écriture | |||
| DescribeCapacityProviders | Accorde l'autorisation de décrire un ou plusieurs fournisseurs de capacité Amazon ECS. | Lecture | |||
| DescribeClusters | Accorde l'autorisation de décrire un ou plusieurs de vos clusters. | Lecture | |||
| DescribeContainerInstances | Accorde l'autorisation de décrire des instances de conteneurs Amazon ECS. | Lecture | |||
| DescribeServiceDeployments | Accorde l'autorisation de décrire un ou plusieurs de vos déploiements de services | Lecture | |||
| DescribeServiceRevisions | Accorde l'autorisation de décrire une ou plusieurs révisions de votre service | Lecture | |||
| DescribeServices | Accorde l'autorisation de décrire les services spécifiés qui s'exécutent dans votre cluster. | Lecture | |||
| DescribeTaskDefinition | Accorde l'autorisation de décrire une définition de tâche. Vous pouvez spécifier une famille et une révision pour rechercher des informations sur une définition de tâche spécifique, ou simplement spécifier la famille pour rechercher la dernière révision ACTIVE dans cette famille. | Lecture | |||
| DescribeTaskSets | Accorde l'autorisation de décrire des ensembles de tâches Amazon ECS. | Lecture | |||
| DescribeTasks | Accorde l'autorisation de décrire une ou plusieurs tâches spécifiques. | Lecture | |||
| DiscoverPollEndpoint | Accorde l'autorisation d'obtenir un point de terminaison pour l'agent Amazon ECS afin d'interroger les mises à jour. | Écriture | |||
| ExecuteCommand | Accorde l'autorisation d'exécuter une commande à distance sur un conteneur Amazon ECS. | Écrire | |||
| GetTaskProtection | Accorde l'autorisation de récupérer le statut de protection pour les tâches dans un service Amazon | Lecture | |||
| ListAccountSettings | Accorde l'autorisation de répertorier les paramètres de compte d'une ressource Amazon ECS pour un principal spécifié. | Lecture | |||
| ListAttributes | Accorde l'autorisation de répertorier les attributs des ressources Amazon ECS dans un type de cible et un cluster spécifiés. | Liste | |||
| ListClusters | Accorde l'autorisation d'obtenir une liste des clusters existants. | Liste | |||
| ListContainerInstances | Accorde l'autorisation d'obtenir une liste d'instances de conteneurs dans un cluster spécifié. | Liste | |||
| ListServiceDeployments | Accorde l'autorisation d'obtenir une liste des déploiements de services pour un service spécifique | Liste | |||
| ListServices | Accorde l'autorisation d'obtenir une liste des services en cours d'exécution dans un cluster donné. | Liste | |||
| ListServicesByNamespace | Accorde l'autorisation d'obtenir une liste des services qui s'exécutent dans un espace de noms AWS Cloud cartographique spécifié | Liste | |||
| ListTagsForResource | Accorde l'autorisation d'obtenir une liste de identifications pour la ressource spécifiée. | Lecture | |||
| ListTaskDefinitionFamilies | Accorde l'autorisation d'obtenir une liste des familles de définitions de tâches enregistrées sur votre compte (qui peuvent inclure des familles de définition de tâches qui n'ont plus de définitions de tâche ACTIVE). | Liste | |||
| ListTaskDefinitions | Accorde l'autorisation d'obtenir une liste des définitions de tâches enregistrées sur votre compte. | Liste | |||
| ListTasks | Accorde l'autorisation d'obtenir une liste de tâches pour un cluster spécifié. | Liste | |||
| Poll [autorisation uniquement] | Accorde l'autorisation à un agent de se connecter à Amazon ECS service pour signaler son état et obtenir des commandes. | Écriture | |||
| PutAccountSetting | Accorde l'autorisation de modifier le format de l'ARN et de l'ID de ressource d'une ressource pour un utilisateur IAM spécifié, un rôle IAM ou l'utilisateur racine d'un compte. Vous pouvez spécifier si le nouvel ARN et le format d'ID d'une ressource sont activés pour les nouvelles ressources créées. L'activation de ce paramètre est nécessaire pour utiliser les nouvelles fonctions d'Amazon ECS, notamment le balisage des ressources. | Écriture | |||
| PutAccountSettingDefault | Accorde l'autorisation de modifier le format de l'ARN et de l'ID de ressource d'un type de ressource pour tous les utilisateurs IAM sur un compte pour lequel aucun paramètre de compte individuel n'a été défini. L'activation de ce paramètre est nécessaire pour utiliser les nouvelles fonctions d'Amazon ECS, notamment le balisage des ressources. | Écriture | |||
| PutAttributes | Accorde l'autorisation de créer ou de mettre à jour un attribut sur une ressource Amazon ECS. | Écriture | |||
| PutClusterCapacityProviders | Accorde l'autorisation de modifier les fournisseurs de capacité disponibles et la stratégie de fournisseur de capacité par défaut pour un cluster. | Écrire | |||
| RegisterContainerInstance | Accorde l'autorisation d'enregistrer une EC2 instance dans le cluster spécifié | Écrire | |||
| RegisterTaskDefinition | Accorde l'autorisation d'enregistrer une nouvelle définition de tâche à partir de la famille et des définitions de conteneurs fournies. | Écriture | |||
| RunTask | Accorde l'autorisation de lancer une tâche en utilisant un placement aléatoire et le planificateur Amazon ECS par défaut. | Écriture |
iam:PassRole |
||
| StartTask | Accorde l'autorisation de lancer une nouvelle tâche à partir de la définition de tâche spécifiée sur l'instance ou les instances de conteneur spécifiées. | Écriture |
iam:PassRole |
||
| StartTelemetrySession | Accorde l'autorisation de lancer une séance de télémétrie. | Écriture | |||
| StopTask | Accorde l'autorisation d'arrêter une tâche en cours d'exécution. | Écriture | |||
| SubmitAttachmentStateChanges | Accorde l'autorisation d'envoyer un accusé de réception indiquant que les attachements ont changé d'état. | Écriture | |||
| SubmitContainerStateChange | Accorde l'autorisation d'envoyer un accusé de réception indiquant qu'un conteneur a changé d'état. | Écriture | |||
| SubmitTaskStateChange | Accorde l'autorisation d'envoyer un accusé de réception indiquant qu'une tâche a changé d'état. | Écriture | |||
| TagResource | Accorde l'autorisation d'identificationr la ressource spécifiée. | Balisage | |||
| UntagResource | Accorde l'autorisation d'annuler le balisage de la ressource spécifiée. | Balisage | |||
| UpdateCapacityProvider | Accorde l'autorisation de mettre à jour le fournisseur de capacité spécifié. | Écriture | |||
| UpdateCluster | Accorde l'autorisation de modifier la configuration ou les paramètres à utiliser pour un cluster. | Écriture | |||
| UpdateClusterSettings | Accorde l'autorisation de modifier les paramètres à utiliser pour un cluster. | Écriture | |||
| UpdateContainerAgent | Accorde l'autorisation de mettre à jour l'agent de conteneur Amazon ECS sur une instance de conteneur spécifiée. | Écriture | |||
| UpdateContainerInstancesState | Accorde l'autorisation à l'utilisateur de modifier le statut d'une instance de conteneur Amazon ECS. | Écriture | |||
| UpdateService | Accorde l'autorisation de modifier les paramètres d'un service. | Écriture | |||
| UpdateServicePrimaryTaskSet | Accorde l'autorisation de modifier l'ensemble des tâches primaires utilisées dans un service. | Écrire | |||
| UpdateTaskProtection | Accorde l'autorisation de modifier le statut de protection d'une tâche | Écrire | |||
| UpdateTaskSet | Accorde l'autorisation de mettre à jour l'ensemble de tâches spécifié. | Écriture | |||
Types de ressources définis par Amazon Elastic Container Service
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| cluster |
arn:${Partition}:ecs:${Region}:${Account}:cluster/${ClusterName}
|
|
| container-instance |
arn:${Partition}:ecs:${Region}:${Account}:container-instance/${ClusterName}/${ContainerInstanceId}
|
|
| service |
arn:${Partition}:ecs:${Region}:${Account}:service/${ClusterName}/${ServiceName}
|
|
| service-deployment |
arn:${Partition}:ecs:${Region}:${Account}:service-deployment/${ClusterName}/${ServiceName}/${ServiceDeploymentId}
|
|
| service-revision |
arn:${Partition}:ecs:${Region}:${Account}:service-revision/${ClusterName}/${ServiceName}/${ServiceRevisionId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${ClusterName}/${TaskId}
|
|
| task-definition |
arn:${Partition}:ecs:${Region}:${Account}:task-definition/${TaskDefinitionFamilyName}:${TaskDefinitionRevisionNumber}
|
|
| capacity-provider |
arn:${Partition}:ecs:${Region}:${Account}:capacity-provider/${CapacityProviderName}
|
|
| task-set |
arn:${Partition}:ecs:${Region}:${Account}:task-set/${ClusterName}/${ServiceName}/${TaskSetId}
|
Clés de condition pour Amazon Elastic Container Service
Amazon Elastic Container Service définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une stratégie IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des identifications transmises dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande | ArrayOfString |
| ecs:CreateAction | Filtre l'accès en fonction du nom d'une action d'API de création de ressources. | Chaîne |
| ecs:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource | Chaîne |
| ecs:account-setting | Filtre l'accès en fonction du nom de la configuration du compte Amazon ECS | Chaîne |
| ecs:capacity-provider | Filtre l'accès en fonction de l'ARN d'un fournisseur de capacité Amazon ECS | ARN |
| ecs:cluster | Filtre l'accès en fonction de l'ARN d'un cluster Amazon ECS | ARN |
| ecs:container-instances | Filtre l'accès en fonction de l'ARN d'une instance de conteneur Amazon ECS | ARN |
| ecs:container-name | Filtre l'accès en fonction du nom d'un conteneur Amazon ECS défini dans la définition de tâche ECS | Chaîne |
| ecs:enable-ebs-volumes | Filtre l'accès par la capacité du volume Amazon EBS géré par Amazon ECS à votre tâche ou service ECS | Chaîne |
| ecs:enable-execute-command | Filtre l'accès en fonction de la fonctionnalité execute-command de votre tâche Amazon ECS ou votre Amazon ECS service | Chaîne |
| ecs:enable-service-connect | Filtre l'accès en fonction de la demande du champ d'activation dans la configuration de Service Connect | Chaîne |
| ecs:enable-vpc-lattice | Filtre l'accès en fonction de la capacité du réseau VPC de votre service Amazon ECS | Chaîne |
| ecs:fargate-ephemeral-storage-kms-key | Filtre l'accès en fonction de l'identifiant de clé AWS KMS fourni dans la demande | Chaîne |
| ecs:namespace | Filtre l'accès en fonction de l'ARN de l'espace de noms AWS Cloud Map défini dans la configuration de Service Connect | ARN |
| ecs:service | Filtre l'accès en fonction de l'ARN d'un Amazon ECS service | ARN |
| ecs:task | Filtre l'accès en fonction de l'ARN d'une tâche Amazon ECS | ARN |
| ecs:task-definition | Filtre l'accès en fonction de l'ARN d'une définition de tâche Amazon ECS | ARN |
