Autorizzazioni necessarie per la console Amazon ECS - Amazon Elastic Container Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni necessarie per la console Amazon ECS

Seguendo la best practice per concedere il privilegio minimo, è possibile utilizzare la policy gestita di AmazonECS_FullAccess come modello per la creazione di policy personalizzate. In questo modo, è possibile rimuovere o aggiungere autorizzazioni da e verso le policy gestite in base ai requisiti specifici. Per ulteriori informazioni, consulta AmazonECS_ FullAccess nel Managed Policy Reference.AWS

Autorizzazioni per la creazione di ruoli IAM

Le operazioni seguenti richiedono autorizzazioni aggiuntive per completare l'operazione:

Puoi aggiungere queste autorizzazioni creando un ruolo in IAM prima di utilizzarle nella console Amazon ECS. Se non crei i ruoli, la console Amazon ECS li crea per tuo conto.

Autorizzazioni necessarie per registrare un'istanza esterna in un cluster

Hai bisogno di autorizzazioni aggiuntive quando registri un'istanza esterna in un cluster e desideri creare un nuovo ruolo di istanza esterna (ecsExternalInstanceRole).

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.

  • ssm: consente ai principali di registrare l'istanza esterna con Systems Manager.

Nota

Per scegliere un ruolo ecsExternalInstanceRole esistente, devi disporre delle autorizzazioni iam:GetRole e iam:PassRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsExternalInstanceRole.

{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" } ] }

Autorizzazioni necessarie per la registrazione di una definizione di attività

Hai bisogno di autorizzazioni aggiuntive quando registri una definizione di attività e desideri creare un nuovo ruolo di esecuzione di attività (ecsTaskExecutionRole).

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.

Nota

Per scegliere un ruolo ecsTaskExecutionRole esistente, devi disporre dell'autorizzazione iam:GetRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsTaskExecutionRole.

{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }

Autorizzazioni necessarie per creare una EventBridge regola per le attività pianificate

Hai bisogno di autorizzazioni aggiuntive quando pianifichi un'attività e desideri creare un nuovo ruolo CloudWatch Events role (). ecsEventsRole

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate e di permettere ad Amazon ECS di trasmettere il ruolo ad altri servizi affinché lo assumano.

Nota

Per scegliere un ruolo ecsEventsRole esistente, devi disporre delle autorizzazioni iam:GetRole e iam:PassRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsEventsRole.

{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam: PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }

Autorizzazioni necessarie per visualizzare le distribuzioni dei servizi

Se si segue la best practice di concessione del privilegio minimo, è necessario aggiungere autorizzazioni aggiuntive per visualizzare le distribuzioni dei servizi nella console.

È necessario accedere alle seguenti azioni:

  • ListServiceDeployments

  • DescribeServiceDeployments

  • DescribeServiceRevisions

È necessario accedere alle seguenti risorse:

  • Servizio

  • Distribuzione del servizio

  • Revisione del servizio

La seguente politica di esempio contiene le autorizzazioni richieste e limita le azioni a un servizio specificato.

Sostituisci accountcluster-name, e service-name con i tuoi valori.

{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ListServiceDeployments", "ecs:DescribeServiceDeployments", "ecs:DescribeServiceRevisions" ], "Resource": [ "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name", "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*", "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*" ] } ] }