Autorizzazioni per la creazione di ruoli IAM Autorizzazioni necessarie per registrare un'istanza esterna in un cluster Autorizzazioni necessarie per la registrazione di una definizione di attività Autorizzazioni necessarie per creare una EventBridge regola per le attività pianificate

Autorizzazioni richieste per la console Amazon ECS

Seguendo la best practice per concedere il privilegio minimo, è possibile utilizzare la policy gestita di AmazonECS_FullAccess come modello per la creazione di policy personalizzate. In questo modo, è possibile rimuovere o aggiungere autorizzazioni da e verso le policy gestite in base ai requisiti specifici. Per ulteriori informazioni, consulta Dettagli dell'autorizzazione.

Autorizzazioni per la creazione di ruoli IAM

Le operazioni seguenti richiedono autorizzazioni aggiuntive per completare l'operazione:

Registrazione di un'istanza esterna: per ulteriori informazioni, consulta IAMRuolo di Amazon ECS Anywhere
Registrazione di una definizione di attività: per ulteriori informazioni, consulta IAMRuolo di esecuzione delle ECS attività di Amazon
Creazione di una EventBridge regola da utilizzare per la pianificazione delle attività: per ulteriori informazioni, vedere ECS EventBridge IAMRuolo di Amazon

Puoi aggiungere queste autorizzazioni creando un ruolo IAM prima di utilizzarle nella ECS console Amazon. Se non crei i ruoli, la ECS console Amazon li crea per tuo conto.

Autorizzazioni necessarie per registrare un'istanza esterna in un cluster

Hai bisogno di autorizzazioni aggiuntive quando registri un'istanza esterna in un cluster e desideri creare un nuovo ruolo di istanza esterna (ecsExternalInstanceRole).

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

iam— Consente ai responsabili di creare ed elencare i IAM ruoli e le relative politiche allegate.
ssm: consente ai principali di registrare l'istanza esterna con Systems Manager.

Nota

Per scegliere un ruolo ecsExternalInstanceRole esistente, devi disporre delle autorizzazioni iam:GetRole e iam:PassRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsExternalInstanceRole.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": ["iam:PassRole","ssm:CreateActivation"],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        }
    ]
}

Autorizzazioni necessarie per la registrazione di una definizione di attività

Hai bisogno di autorizzazioni aggiuntive quando registri una definizione di attività e desideri creare un nuovo ruolo di esecuzione di attività (ecsTaskExecutionRole).

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

iam— Consente ai dirigenti di creare ed elencare i IAM ruoli e le relative politiche allegate.

Nota

Per scegliere un ruolo ecsTaskExecutionRole esistente, devi disporre dell'autorizzazione iam:GetRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsTaskExecutionRole.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
        }
    ]
}

Autorizzazioni necessarie per creare una EventBridge regola per le attività pianificate

Hai bisogno di autorizzazioni aggiuntive quando pianifichi un'attività e desideri creare un nuovo ruolo CloudWatch Events role (). ecsEventsRole

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

iam— Consente ai responsabili di creare ed elencare IAM i ruoli e le relative politiche allegate e di consentire ECS ad Amazon di trasferire il ruolo ad altri servizi affinché assumano il ruolo.

Nota

Per scegliere un ruolo ecsEventsRole esistente, devi disporre delle autorizzazioni iam:GetRole e iam:PassRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsEventsRole.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole",
              "iam: PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsEventsRole"
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

EventBridge IAMRuolo

Autorizzazioni richieste per la ECS console Amazon con AWS CloudFormation