Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Izin diperlukan untuk konsol Amazon ECS
Mengikuti praktik terbaik pemberian hak istimewa paling rendah, Anda dapat menggunakan kebijakan terkelola `AmazonECS_FullAccess` sebagai templat untuk membuat kebijakan kustom Anda sendiri. Dengan begitu, Anda dapat mengambil atau menambahkan izin ke dan dari kebijakan terkelola berdasarkan kebutuhan khusus Anda. *Untuk informasi selengkapnya, lihat [AmazonECS\$1 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) di Referensi Kebijakan Terkelola.AWS *
## Izin untuk membuat peran IAM
Tindakan berikut memerlukan izin tambahan untuk menyelesaikan operasi:
+ Mendaftarkan instance eksternal - untuk informasi selengkapnya, lihat [Peran IAM Amazon ECS Anywhere](iam-role-ecsanywhere.md)
+ Mendaftarkan definisi tugas - untuk informasi lebih lanjut, lihat [Peran IAM pelaksanaan tugas Amazon ECS](task_execution_IAM_role.md)
+ Membuat EventBridge aturan yang akan digunakan untuk menjadwalkan tugas - untuk informasi selengkapnya, lihat [Peran Amazon ECS EventBridge IAM](CWE_IAM_role.md)
Anda dapat menambahkan izin ini dengan membuat peran di IAM sebelum menggunakannya di konsol Amazon ECS. Jika Anda tidak membuat peran, konsol Amazon ECS akan membuatnya atas nama Anda.
## Izin yang diperlukan untuk mendaftarkan instance eksternal ke cluster
Anda memerlukan izin tambahan saat mendaftarkan instance eksternal ke klaster dan Anda ingin membuat peran instance eksternal (`ecsExternalInstanceRole`) baru.
Izin tambahan berikut diperlukan:
+ `iam`— Memungkinkan kepala sekolah untuk membuat dan membuat daftar peran IAM dan kebijakan terlampir mereka.
+ saya: AttachRolePolicy
+ saya: CreateRole
+ saya: CreateInstanceProfile
+ saya: AddRoleToInstanceProfile
+ saya: ListInstanceProfilesForRole
+ saya: GetRole
+ `ssm`— Memungkinkan prinsipal untuk mendaftarkan instance eksternal dengan Systems Manager.
**catatan**
Untuk memilih yang sudah ada`ecsExternalInstanceRole`, Anda harus memiliki `iam:GetRole` dan `iam:PassRole` izin.
Kebijakan berikut berisi izin yang diperlukan, dan membatasi tindakan untuk `ecsExternalInstanceRole` peran.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:ListInstanceProfilesForRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole","ssm:CreateActivation"],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
}
]
}
```
------
## Izin yang diperlukan untuk mendaftarkan definisi tugas
Anda memerlukan izin tambahan saat mendaftarkan definisi tugas dan Anda ingin membuat peran eksekusi tugas (`ecsTaskExecutionRole`) baru.
Izin tambahan berikut diperlukan:
+ `iam`— Memungkinkan kepala sekolah untuk membuat dan membuat daftar peran IAM dan kebijakan terlampir mereka.
+ saya: AttachRolePolicy
+ saya: CreateRole
+ saya: GetRole
**catatan**
Untuk memilih yang sudah ada`ecsTaskExecutionRole`, Anda harus memiliki `iam:GetRole` izin.
Kebijakan berikut berisi izin yang diperlukan, dan membatasi tindakan untuk `ecsTaskExecutionRole` peran.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
}
]
}
```
------
## Izin yang diperlukan untuk menggunakan Amazon Q Developer untuk memberikan rekomendasi di konsol
Agar Pengembang Amazon Q memberikan rekomendasi di konsol Amazon ECS;, Anda harus mengaktifkan izin IAM yang benar untuk pengguna atau peran IAM Anda. Anda harus menambahkan `codewhisperer:GenerateRecommendations` izin.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperPermissions",
"Effect": "Allow",
"Action": ["codewhisperer:GenerateRecommendations"],
"Resource": "*"
}
]
}
```
------
Untuk menggunakan obrolan sebaris di konsol Amazon ECS;, Anda harus mengaktifkan izin IAM yang benar untuk pengguna atau peran IAM Anda. Anda harus menambahkan `q:SendMessage` izin. :
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperInlineChatPermissions",
"Effect": "Allow",
"Action": ["q:SendMessage"],
"Resource": "*"
}
]
}
```
------
## Izin diperlukan untuk membuat EventBridge aturan untuk tugas terjadwal
Anda memerlukan izin tambahan saat menjadwalkan tugas dan Anda ingin membuat peran peran (`ecsEventsRole`) CloudWatch Acara baru.
Izin tambahan berikut diperlukan:
+ `iam`— Memungkinkan kepala sekolah untuk membuat dan mencantumkan peran IAM dan kebijakan terlampirnya, dan mengizinkan Amazon ECS meneruskan peran tersebut ke layanan lain untuk mengambil peran tersebut.
**catatan**
Untuk memilih yang sudah ada`ecsEventsRole`, Anda harus memiliki `iam:GetRole` dan `iam:PassRole` izin.
Kebijakan berikut berisi izin yang diperlukan, dan membatasi tindakan untuk `ecsEventsRole` peran.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/ecsEventsRole"
}
]
}
```
------
## Izin diperlukan untuk melihat penerapan layanan
Saat Anda mengikuti praktik terbaik pemberian hak istimewa paling sedikit, Anda perlu menambahkan izin tambahan untuk melihat penerapan layanan di konsol.
Anda memerlukan akses ke tindakan berikut:
+ ListServiceDeployments
+ DescribeServiceDeployments
+ DescribeServiceRevisions
Anda memerlukan akses ke sumber daya berikut:
+ Layanan
+ Penyebaran layanan
+ Revisi Layanan
Kebijakan contoh berikut berisi izin yang diperlukan, dan membatasi tindakan ke layanan tertentu.
Ganti`account`,`cluster-name`, dan `service-name` dengan nilai-nilai Anda.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ListServiceDeployments",
"ecs:DescribeServiceDeployments",
"ecs:DescribeServiceRevisions"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
"arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
"arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
]
}
]
}
```
------
## Izin diperlukan untuk melihat peristiwa siklus hidup Amazon ECS di Wawasan Kontainer
Izin berikut diperlukan untuk melihat peristiwa siklus hidup. Tambahkan izin berikut sebagai kebijakan sebaris ke peran. Untuk informasi selengkapnya, lihat [Menambahkan dan Menghapus Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ peristiwa: DescribeRule
+ peristiwa: ListTargetsByRule
+ log: DescribeLogGroups
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule",
"logs:DescribeLogGroups"
],
"Resource": "*"
}
]
}
```
------
## Izin diperlukan untuk mengaktifkan peristiwa siklus hidup Amazon ECS di Wawasan Kontainer
Izin berikut diperlukan untuk mengonfigurasi peristiwa siklus hidup:
+ peristiwa: PutRule
+ peristiwa: PutTargets
+ log: CreateLogGroup
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets",
"logs:CreateLogGroup"
],
"Resource": "*"
}
]
}
```
------
# Izin diperlukan untuk konsol Amazon ECS dengan CloudFormation
Sebelum menggunakan Konsol Manajemen AWS untuk membuat sumber daya Anda, Anda harus memastikan untuk memiliki izin IAM yang benar. Untuk informasi tentang cara mengatur izin untuk konsol Amazon ECS secara umum terlebih dahulu, lihat [Izin yang diperlukan untuk konsol Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/console-permissions.html) ECS.
Konsol Amazon ECS didukung oleh AWS CloudFormation dan memerlukan izin IAM tambahan dalam kasus berikut:
+ Membuat kluster
+ Membuat sebuah layanan
+ Menciptakan penyedia kapasitas
Anda dapat membuat kebijakan untuk izin tambahan, lalu melampirkannya ke peran IAM yang Anda gunakan untuk mengakses konsol. Untuk informasi selengkapnya, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dalam *Panduan Pengguna IAM*.
## Izin diperlukan untuk membuat klaster
Saat membuat klaster di konsol, Anda memerlukan izin tambahan yang memberi Anda izin untuk mengelola CloudFormation tumpukan.
Izin tambahan berikut diperlukan:
+ `cloudformation`— Memungkinkan kepala sekolah untuk membuat dan mengelola tumpukan. CloudFormation Ini diperlukan saat membuat cluster Amazon ECS menggunakan Konsol Manajemen AWS dan pengelolaan cluster tersebut selanjutnya.
+ `ssm`- Memungkinkan CloudFormation untuk mereferensikan AMI Amazon ECS terbaru yang dioptimalkan. Ini diperlukan saat membuat cluster Amazon ECS menggunakan file. Konsol Manajemen AWS
Kebijakan berikut berisi CloudFormation izin yang diperlukan, dan membatasi tindakan ke sumber daya yang dibuat di konsol Amazon ECS.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStack*",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*"
]
},
{
"Effect": "Allow",
"Action": "ssm:GetParameters",
"Resource": [
"arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2*/*",
"arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2023*/*"
]
}
]
}
```
------
Jika Anda belum membuat peran instans penampung Amazon ECS (`ecsInstanceRole`), dan Anda membuat klaster yang menggunakan instans Amazon EC2, konsol akan membuat peran tersebut atas nama Anda.
Selain itu, jika Anda menggunakan grup Auto Scaling, maka Anda memerlukan izin tambahan agar konsol dapat menambahkan tag ke grup penskalaan otomatis saat menggunakan fitur penskalaan otomatis cluster.
Izin tambahan berikut diperlukan:
+ `autoscaling`— Memungkinkan konsol untuk menandai grup Amazon EC2 Auto Scaling. Ini diperlukan saat mengelola grup penskalaan otomatis Amazon EC2 saat menggunakan fitur penskalaan otomatis cluster. Tag adalah tag yang dikelola ECS yang secara otomatis ditambahkan konsol ke grup untuk menunjukkan dibuat di konsol.
+ `iam`— Memungkinkan kepala sekolah untuk membuat daftar peran IAM dan kebijakan terlampir mereka. Prinsipal juga dapat mencantumkan profil instans yang tersedia untuk instans Amazon EC2 Anda.
Kebijakan berikut berisi izin IAM yang diperlukan, dan membatasi tindakan untuk peran. `ecsInstanceRole`
Izin Auto Scaling tidak terbatas.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:ListInstanceProfilesForRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsInstanceRole"
},
{
"Effect": "Allow",
"Action": "autoscaling:CreateOrUpdateTags",
"Resource": "*"
}
]
}
```
------
## Izin yang diperlukan untuk membuat layanan
Saat membuat layanan di konsol, Anda memerlukan izin tambahan yang memberi Anda izin untuk mengelola CloudFormation tumpukan. Izin tambahan berikut diperlukan:
+ `cloudformation`— Memungkinkan kepala sekolah untuk membuat dan mengelola tumpukan. CloudFormation Ini diperlukan saat membuat layanan Amazon ECS menggunakan Konsol Manajemen AWS dan pengelolaan selanjutnya dari layanan tersebut.
Kebijakan berikut berisi izin yang diperlukan, dan membatasi tindakan ke sumber daya yang dibuat di konsol Amazon ECS.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStack*",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*"
]
}
]
}
```
------