Pantau wadah Amazon ECS dengan ECS Exec - Amazon Elastic Container Service
Pertimbangan Prasyarat ArsitekturMenggunakan ECS ExecLogging menggunakan ECS ExecMenggunakan kebijakan IAM untuk membatasi akses ke ECS Exec

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pantau wadah Amazon ECS dengan ECS Exec

Dengan Amazon ECS Exec, Anda dapat langsung berinteraksi dengan kontainer tanpa perlu terlebih dahulu berinteraksi dengan sistem operasi wadah host, membuka port masuk, atau mengelola kunci SSH. Anda dapat menggunakan ECS Exec untuk menjalankan perintah di atau mendapatkan shell ke wadah yang berjalan pada EC2 instance Amazon atau di. AWS Fargate Hal tersebut mempermudah pengumpulan informasi diagnostik dan memecahkan masalah kesalahan dengan cepat. Misalnya, dalam konteks pengembangan, Anda dapat menggunakan ECS Exec untuk berinteraksi dengan mudah dengan berbagai proses dalam wadah Anda dan memecahkan masalah aplikasi Anda. Dan dalam skenario produksi, Anda dapat menggunakannya untuk mendapatkan akses break-glass ke wadah Anda untuk men-debug masalah.

Anda dapat menjalankan perintah dalam wadah Linux atau Windows yang sedang berjalan menggunakan ECS Exec dari Amazon ECS API, AWS Command Line Interface (AWS CLI) AWS SDKs, atau AWS Copilot CLI. Untuk detail tentang penggunaan ECS Exec, serta panduan video, menggunakan Copilot CLI, lihat Copilot AWS GitHub dokumentasi.

Anda juga dapat menggunakan ECS Exec untuk mempertahankan kebijakan kontrol akses yang lebih ketat. Dengan mengaktifkan fitur ini secara selektif, Anda dapat mengendalikan siapa yang dapat menjalankan perintah dan ditugas mana mereka dapat menjalankan perintah tersebut. Dengan log dari setiap perintah dan outputnya, Anda dapat menggunakan ECS Exec untuk melihat tugas mana yang dijalankan dan Anda dapat menggunakan CloudTrail untuk mengaudit siapa yang mengakses wadah.

Pertimbangan

Untuk topik ini, Anda harus terbiasa dengan aspek-aspek berikut yang terlibat dengan penggunaan ECS Exec:

  • ECS Exec saat ini tidak didukung menggunakan file. AWS Management Console

    Halaman detail cluster menampilkan logging dan kunci terkelola AWS KMS pelanggan yang digunakan untuk mengenkripsi data antara klien lokal dan penampung.

  • ECS Exec mungkin tidak berfungsi seperti yang diharapkan saat berjalan pada sistem operasi yang tidak didukung oleh Systems Manager. Untuk informasi tentang sistem operasi yang didukung, lihat Jenis sistem operasi di Panduan AWS Systems Manager Pengguna.

  • ECS Exec didukung untuk tugas-tugas yang berjalan pada infrastruktur berikut:

    • Wadah Linux di Amazon EC2 pada AMI yang dioptimalkan Amazon ECS, termasuk Bottlerocket

    • Wadah Linux dan Windows pada instance eksternal (Amazon ECS Anywhere)

    • Wadah Linux dan Windows di AWS Fargate

    • Kontainer Windows di Amazon EC2 pada Windows Amazon ECS-dioptimalkan berikut AMIs (dengan versi agen kontainer 1.56 atau yang lebih baru):

      • Amazon ECS yang dioptimalkan Windows Server 2022 AMI Penuh

      • Server Windows 2022 AMI Inti yang dioptimalkan Amazon ECS

      • Amazon ECS yang dioptimalkan Windows Server 2019 AMI Penuh

      • Amazon ECS yang dioptimalkan Windows Server 2019 Core AMI

      • Amazon ECS yang dioptimalkan Windows Server 20H2 Core AMI

  • Jika Anda mengonfigurasi proxy HTTP untuk tugas Anda, setel variabel NO_PROXY lingkungan "NO_PROXY=169.254.169.254,169.254.170.2" agar dapat melewati proxy EC2 misalnya metadata dan lalu lintas peran IAM. Jika Anda tidak mengonfigurasi variabel NO_PROXY lingkungan, mungkin ada kegagalan saat mengambil metadata instance atau kredensyal peran IAM dari titik akhir metadata dalam wadah. Mengatur variabel NO_PROXY lingkungan seperti yang disarankan menyaring metadata dan lalu lintas IAM sehingga permintaan untuk 169.254.169.254 and 169.254.170.2 tidak melalui proxy. HTTP

  • ECS Exec dan Amazon VPC

    • Jika Anda menggunakan antarmuka titik akhir Amazon VPC dengan Amazon ECS, Anda harus membuat antarmuka titik akhir Amazon VPC untuk Systems Manager Session Manager (). ssmmessages Untuk informasi selengkapnya tentang titik akhir VPC Systems Manager, lihat Menggunakan AWS PrivateLink untuk menyiapkan titik akhir VPC untuk Session Manager di Panduan Pengguna.AWS Systems Manager

    • Jika Anda menggunakan antarmuka titik akhir Amazon VPC dengan Amazon ECS, dan Anda menggunakan AWS KMS key untuk enkripsi, maka Anda harus membuat antarmuka titik akhir Amazon VPC untuk. AWS KMS keyUntuk informasi selengkapnya, lihat Menghubungkan ke AWS KMS key melalui titik akhir VPC di Panduan Pengembang.AWS Key Management Service

    • Bila Anda memiliki tugas yang berjalan di EC2 instans Amazon, gunakan mode awsvpc jaringan. Jika Anda tidak memiliki akses internet, seperti tidak dikonfigurasi untuk menggunakan gateway NAT), Anda harus membuat antarmuka titik akhir Amazon VPC untuk Systems Manager Session Manager (). ssmmessages Untuk informasi selengkapnya tentang pertimbangan mode awsvpc jaringan, lihat Pertimbangan. Untuk informasi selengkapnya tentang titik akhir VPC Systems Manager, lihat Menggunakan AWS PrivateLink untuk menyiapkan titik akhir VPC untuk Session Manager di Panduan Pengguna.AWS Systems Manager

  • ECS Exec dan SSM

    • Ketika pengguna menjalankan perintah pada wadah menggunakan ECS Exec, perintah ini dijalankan sebagai pengguna. root Agen SSM dan proses turunannya berjalan sebagai root bahkan ketika Anda menentukan ID pengguna untuk wadah.

    • Agen SSM mengharuskan sistem file kontainer dapat ditulis untuk membuat direktori dan file yang diperlukan. Oleh karena itu, membuat sistem file root hanya-baca menggunakan parameter ketentuan tugas readonlyRootFilesystem, atau metode lainnya, tidak didukung.

    • Meskipun memulai sesi SSM di luar execute-command tindakan dimungkinkan, ini mengakibatkan sesi tidak dicatat dan dihitung terhadap batas sesi. Kami menyarankan untuk membatasi akses ini dengan menolak ssm:start-session tindakan menggunakan kebijakan IAM. Untuk informasi selengkapnya, lihat Membatasi akses ke tindakan Memulai Sesi.

  • Fitur berikut berjalan sebagai wadah sespan. Oleh karena itu, Anda harus menentukan nama kontainer untuk menjalankan perintah.

    • Pemantauan Runtime

    • Layanan Connect

  • Pengguna dapat menjalankan semua perintah yang tersedia dalam konteks kontainer. Tindakan berikut mungkin mengakibatkan proses tanpa induk dan zombie: mengakhiri proses utama kontainer, mengakhiri agen perintah, dan menghapus dependensi. Untuk membersihkan proses zombie, sebaiknya tambahkan flag initProcessEnabled untuk ketentuan tugas Anda.

  • ECS Exec menggunakan beberapa CPU dan memori. Anda akan ingin mengakomodasinya saat menentukan alokasi sumber daya CPU dan memori dalam ketentuan tugas Anda.

  • Anda harus menggunakan AWS CLI versi 1.22.3 atau yang lebih baru atau AWS CLI versi 2.3.6 atau yang lebih baru. Untuk informasi tentang cara memperbarui AWS CLI, lihat Menginstal atau memperbarui versi terbaru dari AWS CLI Panduan AWS Command Line Interface Pengguna Versi 2.

  • Anda hanya dapat memiliki satu sesi ECS Exec per namespace ID proses (PID). Jika Anda berbagi namespace PID dalam tugas, Anda hanya dapat memulai sesi ECS Exec ke dalam satu wadah.

  • Sesi ECS Exec memiliki waktu tunggu idle 20 menit. Nilai ini tidak dapat diubah.

  • Anda tidak dapat mengaktifkan ECS Exec untuk tugas yang ada. Itu hanya dapat dihidupkan untuk tugas-tugas baru.

  • Anda tidak dapat menggunakan ECS Exec saat digunakan run-task untuk meluncurkan tugas di klaster yang menggunakan penskalaan terkelola dengan penempatan asinkron (meluncurkan tugas tanpa instance).

  • Anda tidak dapat menjalankan ECS Exec terhadap kontainer Microsoft Nano Server.

Prasyarat

Sebelum Anda mulai menggunakan ECS Exec, pastikan Anda telah menyelesaikan tindakan ini:

  • Instal dan konfigurasikan AWS CLI. Untuk informasi selengkapnya, lihat Memulai dengan AWS CLI.

  • Instal plugin Session Manager untuk file AWS CLI. Untuk informasi selengkapnya, lihat Instal plugin Pengelola Sesi untuk AWS CLI.

  • Anda harus menggunakan peran tugas dengan izin yang sesuai untuk ECS Exec. Untuk informasi selengkapnya, lihat Peran IAM Tugas.

  • ECS Exec memiliki persyaratan versi tergantung pada apakah tugas Anda di-host di Amazon EC2 atau: AWS Fargate

    • Jika Anda menggunakan Amazon EC2, Anda harus menggunakan AMI Amazon ECS yang dioptimalkan yang dirilis setelah 20 Januari 2021, dengan versi agen 1.50.2 atau lebih tinggi. Untuk informasi selengkapnya, lihat Amazon ECS dioptimalkan AMIs.

    • Jika Anda menggunakan AWS Fargate, Anda harus menggunakan versi platform 1.4.0 atau lebih tinggi (Linux) atau 1.0.0 (Windows). Untuk informasi selengkapnya, lihat Versi platform AWS Fargate.

Arsitektur

ECS Exec menggunakan Manajer Sesi AWS Systems Manager (SSM) untuk membuat koneksi dengan wadah yang sedang berjalan dan menggunakan kebijakan AWS Identity and Access Management (IAM) untuk mengontrol akses ke perintah yang sedang berjalan dalam wadah yang sedang berjalan. Hal ini dimungkinkan dengan mengikat pemasangan biner SSM agent yang diperlukan ke dalam kontainer. Amazon ECS atau AWS Fargate agen bertanggung jawab untuk memulai agen inti SSM di dalam wadah bersama kode aplikasi Anda. Untuk informasi selengkapnya, lihat Systems Manager Session Manager.

Anda dapat mengaudit pengguna mana yang mengakses container menggunakan ExecuteCommand event in AWS CloudTrail dan mencatat setiap perintah (dan outputnya) ke Amazon S3 atau Amazon CloudWatch Logs. Untuk mengenkripsi data antara klien lokal dan wadah dengan kunci enkripsi Anda sendiri, Anda harus memberikan kunci AWS Key Management Service (AWS KMS).

Menggunakan ECS Exec

Perubahan ketentuan tugas opsional

Jika Anda menyetel parameter definisi tugas initProcessEnabled ketrue, ini memulai proses init di dalam wadah. Ini menghapus proses anak agen SSM zombie yang ditemukan. Contoh disediakan seperti berikut.

{
    "taskRoleArn": "ecsTaskRole",
    "networkMode": "awsvpc",
    "requiresCompatibilities": [
        "EC2",
        "FARGATE"
    ],
    "executionRoleArn": "ecsTaskExecutionRole",
    "memory": ".5 gb",
    "cpu": ".25 vcpu",
    "containerDefinitions": [
        {
            "name": "amazon-linux",
            "image": "amazonlinux:latest",
            "essential": true,
            "command": ["sleep","3600"],
            "linuxParameters": {
                "initProcessEnabled": true
            }
        }
    ],
    "family": "ecs-exec-task"
}

Mengaktifkan ECS Exec untuk tugas dan layanan Anda

Anda dapat mengaktifkan fitur ECS Exec untuk layanan dan tugas mandiri Anda dengan menentukan --enable-execute-command tanda saat menggunakan salah satu AWS CLI perintah berikut: create-service,,, update-serviceatau. start-taskrun-task

Misalnya, jika Anda menjalankan perintah berikut, fitur ECS Exec diaktifkan untuk layanan yang baru dibuat yang berjalan di Fargate. Untuk informasi selengkapnya tentang membuat layanan, lihat buat-layanan.

aws ecs create-service \
    --cluster cluster-name \
    --task-definition task-definition-name \
    --enable-execute-command \
    --service-name service-name \
    --launch-type FARGATE \
     --network-configuration "awsvpcConfiguration={subnets=[subnet-12344321],securityGroups=[sg-12344321],assignPublicIp=ENABLED}" \
    --desired-count 1

Setelah Anda mengaktifkan ECS Exec untuk tugas, Anda dapat menjalankan perintah berikut untuk mengonfirmasi tugas siap digunakan. Jika properti lastStatus dari ExecuteCommandAgent terdaftar sebagai RUNNING dan properti enableExecuteCommand diatur ke true, maka tugas Anda sudah siap.

aws ecs describe-tasks \
    --cluster cluster-name \
    --tasks task-id

Potongan output berikut adalah contoh apa yang mungkin Anda lihat.

{
    "tasks": [
        {
            ...
            "containers": [
                {
                    ...
                    "managedAgents": [
                        {
                            "lastStartedAt": "2021-03-01T14:49:44.574000-06:00",
                            "name": "ExecuteCommandAgent",
                            "lastStatus": "RUNNING"
                        }
                    ]
                }
            ],
            ...
            "enableExecuteCommand": true,
            ...
        }
    ]
}

Menjalankan perintah menggunakan ECS Exec

Setelah Anda telah mengonfirmasi bahwa ExecuteCommandAgent sedang berjalan, Anda dapat membuka shell interaktif pada kontainer Anda dengan menggunakan perintah berikut. Jika tugas Anda berisi beberapa kontainer, Anda harus menentukan nama kontainer menggunakan --container bendera. Amazon ECS hanya mendukung memulai sesi interaktif, jadi Anda harus menggunakan bendera. --interactive

Perintah berikut akan menjalankan /bin/sh perintah interaktif terhadap wadah bernama container-name untuk tugas dengan ID daritask-id.

task-idItu adalah Nama Sumber Daya Amazon (ARN) dari tugas tersebut.

aws ecs execute-command --cluster cluster-name \
    --task task-id \
    --container container-name \
    --interactive \
    --command "/bin/sh"

Logging menggunakan ECS Exec

Mengaktifkan login dalam tugas dan layanan Anda

penting

Untuk informasi selengkapnya tentang CloudWatch harga, lihat CloudWatch Harga. Amazon ECS juga menyediakan metrik pemantauan yang disediakan tanpa biaya tambahan. Untuk informasi selengkapnya, lihat Pantau Amazon ECS menggunakan CloudWatch.

Amazon ECS menyediakan konfigurasi default untuk perintah logging yang dijalankan menggunakan ECS Exec. Defaultnya adalah mengirim CloudWatch log ke Log menggunakan driver awslogs log yang dikonfigurasi dalam definisi tugas Anda. Jika Anda ingin memberikan konfigurasi khusus, AWS CLI mendukung --configuration bendera untuk kedua update-cluster perintah create-cluster dan. Gambar kontainer memerlukan script dan diinstal cat agar log perintah diunggah dengan benar ke Amazon S3 CloudWatch atau Log. Untuk informasi selengkapnya tentang pembuatan klaster, lihat buat-klaster.

catatan

Konfigurasi ini hanya menangani pencatatan sesi execute-command. Konfigurasi tersebut tidak memengaruhi pencatatan aplikasi Anda.

Contoh berikut membuat klaster dan kemudian mencatat output ke CloudWatch Log LogGroup bernama cloudwatch-log-group-name dan bucket Amazon S3 Anda bernama. s3-bucket-name

Anda harus menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi grup log saat Anda true menyetel CloudWatchEncryptionEnabled opsi. Untuk informasi tentang cara mengenkripsi grup log, lihat Mengenkripsi data CloudWatch log di Log menggunakan AWS Key Management Service, di Amazon CloudWatch Logs Panduan Pengguna.

aws ecs create-cluster \
    --cluster-name cluster-name \
    --configuration executeCommandConfiguration="{ \
        kmsKeyId=string, \
        logging=OVERRIDE, \
        logConfiguration={ \
            cloudWatchLogGroupName=cloudwatch-log-group-name, \
            cloudWatchEncryptionEnabled=true, \
            s3BucketName=s3-bucket-name, \
            s3EncryptionEnabled=true, \
            s3KeyPrefix=demo \
        } \
    }"

loggingProperti menentukan perilaku kemampuan logging ECS Exec:

  • NONE: logging dimatikan.

  • DEFAULT: log dikirim ke awslogs driver yang dikonfigurasi. Jika driver tidak dikonfigurasi, maka tidak ada log yang disimpan.

  • OVERRIDE: log dikirim ke CloudWatch Log Amazon yang disediakan LogGroup, bucket Amazon S3, atau keduanya.

Izin IAM diperlukan untuk Amazon CloudWatch Log atau Amazon S3 Logging

Untuk mengaktifkan logging, peran tugas Amazon ECS yang direferensikan dalam definisi tugas Anda harus memiliki izin tambahan. Izin tambahan ini dapat ditambahkan sebagai kebijakan untuk peran tugas. Mereka berbeda tergantung pada apakah Anda mengarahkan log Anda ke Amazon CloudWatch Log atau Amazon S3.

Amazon CloudWatch Logs

Kebijakan contoh berikut menambahkan izin Amazon CloudWatch Logs yang diperlukan.

{
   "Version": "2012-10-17",
   "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
               "logs:CreateLogStream",
               "logs:DescribeLogStreams",
               "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:region:account-id:log-group:/aws/ecs/cloudwatch-log-group-name:*"
        }
   ]
}
Amazon S3

Kebijakan contoh berikut menambahkan izin Amazon S3 yang diperlukan.

{
   "Version": "2012-10-17",
   "Statement": [
        {
            "Effect": "Allow",
            "Action": [
               "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
           "Effect": "Allow",
           "Action": [
               "s3:GetEncryptionConfiguration"
           ],
           "Resource": "arn:aws:s3:::s3-bucket-name"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::s3-bucket-name/*"
        }
    ]
   }

Izin IAM diperlukan untuk enkripsi menggunakan Anda sendiri AWS KMS key (kunci KMS)

Secara default, data yang ditransfer antara klien lokal Anda dan penampung menggunakan enkripsi TLS 1.2 yang AWS menyediakan. Untuk mengenkripsi data lebih lanjut menggunakan kunci KMS Anda sendiri, Anda harus membuat kunci KMS dan menambahkan kms:Decrypt izin ke peran IAM tugas Anda. Izin ini digunakan oleh kontainer Anda untuk mendekripsi data. Untuk informasi selengkapnya tentang membuat kunci KMS, lihat Membuat kunci.

Anda menambahkan kebijakan sebaris berikut ke peran IAM tugas yang memerlukan izin. AWS KMS Untuk informasi selengkapnya, lihat Izin ECS Exec.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "kms-key-arn"
        }
    ]
}

Agar data dienkripsi menggunakan kunci KMS Anda sendiri, pengguna atau grup yang menggunakan execute-command tindakan harus diberikan izin. kms:GenerateDataKey

Contoh kebijakan berikut untuk pengguna atau grup Anda berisi izin yang diperlukan untuk menggunakan kunci KMS Anda sendiri. Anda harus menentukan Nama Sumber Daya Amazon (ARN) dari kunci KMS Anda.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": "kms-key-arn"
        }
    ]
}

Menggunakan kebijakan IAM untuk membatasi akses ke ECS Exec

Anda membatasi akses pengguna ke tindakan API perintah eksekusi dengan menggunakan satu atau beberapa kunci kondisi kebijakan IAM berikut:

  • aws:ResourceTag/clusterTagKey

  • ecs:ResourceTag/clusterTagKey

  • aws:ResourceTag/taskTagKey

  • ecs:ResourceTag/taskTagKey

  • ecs:container-name

  • ecs:cluster

  • ecs:task

  • ecs:enable-execute-command

Dengan contoh berikut kebijakan IAM, pengguna dapat menjalankan perintah dalam wadah yang berjalan dalam tugas dengan tag yang memiliki environment kunci dan development nilai dan dalam klaster yang diberi cluster-name nama.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:ExecuteCommand",
                "ecs:DescribeTasks"
            ],
         "Resource": [
                "arn:aws:ecs:region:aws-account-id:task/cluster-name/*",
                "arn:aws:ecs:region:aws-account-id:cluster/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ecs:ResourceTag/environment": "development"
                }
            }
        }
    ]
}

Dengan contoh kebijakan IAM berikut, pengguna tidak dapat menggunakan execute-command API saat nama kontainer. production-app

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ecs:ExecuteCommand"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {                    
                    "ecs:container-name": "production-app"
                }
            }
        }
    ]
}

Dengan kebijakan IAM berikut, pengguna hanya dapat meluncurkan tugas ketika ECS Exec dimatikan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:RunTask",
                "ecs:StartTask",
                "ecs:CreateService",
                "ecs:UpdateService"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {                    
                    "ecs:enable-execute-command": "false"
                }
            }
        }
    ]
}
catatan

Karena tindakan API execute-command hanya berisi sumber daya tugas dan klaster dalam sebuah permintaan, maka yang dievaluasi adalah tanda klaster dan tugas.

Untuk informasi selengkapnya tentang kunci kondisi kebijakan IAM, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon Elastic Container Service di Referensi Otorisasi Layanan.

Membatasi akses ke tindakan Memulai Sesi

Meskipun memulai sesi SSM di wadah Anda di luar ECS Exec dimungkinkan, ini berpotensi mengakibatkan sesi tidak dicatat. Sesi yang dimulai di luar ECS Exec juga dihitung terhadap kuota sesi. Sebaiknya batasi akses ini dengan menolak ssm:start-session tindakan secara langsung untuk tugas Amazon ECS Anda menggunakan kebijakan IAM. Anda dapat menolak akses ke semua tugas Amazon ECS atau ke tugas tertentu berdasarkan tag yang digunakan.

Berikut ini adalah contoh kebijakan IAM yang menolak akses ke ssm:start-session tindakan untuk tugas di semua Wilayah dengan nama cluster tertentu. Anda dapat menyertakan wildcard dengan cluster-name secara opsional.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ssm:StartSession",
            "Resource": [
                "arn:aws:ecs:region:aws-account-id:task/cluster-name/*",
                "arn:aws:ecs:region:aws-account-id:cluster/*"
            ]
        }
    ]
}

Berikut ini adalah contoh kebijakan IAM yang menolak akses ke ssm:start-session tindakan pada sumber daya di semua Wilayah yang ditandai dengan kunci tag Task-Tag-Key dan nilai tag. Exec-Task

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ecs:*:*:task/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Task-Tag-Key": "Exec-Task"
                }
            }
        }
    ]
}

Untuk bantuan terkait masalah apa pun yang mungkin Anda hadapi saat menggunakan Amazon ECS Exec, lihat Memecahkan masalah dengan Exec.