Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni necessarie per la console Amazon ECS
Seguendo la best practice per concedere il privilegio minimo, è possibile utilizzare la policy gestita di AmazonECS_FullAccess
come modello per la creazione di policy personalizzate. In questo modo, è possibile rimuovere o aggiungere autorizzazioni da e verso le policy gestite in base ai requisiti specifici. Per ulteriori informazioni, consulta AmazonECS_ FullAccess nel Managed Policy Reference.AWS
Autorizzazioni per la creazione di ruoli IAM
Le operazioni seguenti richiedono autorizzazioni aggiuntive per completare l'operazione:
-
Registrazione di un'istanza esterna: per ulteriori informazioni, consulta Ruolo IAM di Amazon ECS Anywhere
-
Registrazione di una definizione di attività: per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS
-
Creazione di una EventBridge regola da utilizzare per la pianificazione delle attività: per ulteriori informazioni, consulta Ruolo EventBridge IAM di Amazon ECS
Puoi aggiungere queste autorizzazioni creando un ruolo in IAM prima di utilizzarle nella console Amazon ECS. Se non crei i ruoli, la console Amazon ECS li crea per tuo conto.
Autorizzazioni necessarie per registrare un'istanza esterna in un cluster
Hai bisogno di autorizzazioni aggiuntive quando registri un'istanza esterna in un cluster e desideri creare un nuovo ruolo di istanza esterna (ecsExternalInstanceRole
).
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
-
iam
: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate. -
ssm
: consente ai principali di registrare l'istanza esterna con Systems Manager.
Nota
Per scegliere un ruolo ecsExternalInstanceRole
esistente, devi disporre delle autorizzazioni iam:GetRole
e iam:PassRole
.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsExternalInstanceRole
.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" } ] }
Autorizzazioni necessarie per la registrazione di una definizione di attività
Hai bisogno di autorizzazioni aggiuntive quando registri una definizione di attività e desideri creare un nuovo ruolo di esecuzione di attività (ecsTaskExecutionRole
).
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
-
iam
: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.
Nota
Per scegliere un ruolo ecsTaskExecutionRole
esistente, devi disporre dell'autorizzazione iam:GetRole
.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsTaskExecutionRole
.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
Autorizzazioni necessarie per creare una EventBridge regola per le attività pianificate
Hai bisogno di autorizzazioni aggiuntive quando pianifichi un'attività e desideri creare un nuovo ruolo CloudWatch Events role (). ecsEventsRole
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
-
iam
: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate e di permettere ad Amazon ECS di trasmettere il ruolo ad altri servizi affinché lo assumano.
Nota
Per scegliere un ruolo ecsEventsRole
esistente, devi disporre delle autorizzazioni iam:GetRole
e iam:PassRole
.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsEventsRole
.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam: PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
Autorizzazioni necessarie per visualizzare le distribuzioni dei servizi
Se si segue la best practice di concessione del privilegio minimo, è necessario aggiungere autorizzazioni aggiuntive per visualizzare le distribuzioni dei servizi nella console.
È necessario accedere alle seguenti azioni:
ListServiceDeployments
DescribeServiceDeployments
DescribeServiceRevisions
È necessario accedere alle seguenti risorse:
Servizio
Distribuzione del servizio
Revisione del servizio
La seguente politica di esempio contiene le autorizzazioni richieste e limita le azioni a un servizio specificato.
Sostituisci account
cluster-name
, e service-name
con i tuoi valori.
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ListServiceDeployments", "ecs:DescribeServiceDeployments", "ecs:DescribeServiceRevisions" ], "Resource": [ "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name", "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*", "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*" ] } ] }