Autorizzazioni necessarie per la console Amazon ECS - Amazon Elastic Container Service
Autorizzazioni per la creazione di ruoli IAMAutorizzazioni necessarie per registrare un'istanza esterna in un clusterAutorizzazioni necessarie per la registrazione di una definizione di attivitàAutorizzazioni necessarie per creare una EventBridge regola per le attività pianificateAutorizzazioni necessarie per visualizzare le distribuzioni dei servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni necessarie per la console Amazon ECS

Seguendo la best practice per concedere il privilegio minimo, è possibile utilizzare la policy gestita di AmazonECS_FullAccess come modello per la creazione di policy personalizzate. In questo modo, è possibile rimuovere o aggiungere autorizzazioni da e verso le policy gestite in base ai requisiti specifici. Per ulteriori informazioni, consulta AmazonECS_ FullAccess nel Managed Policy Reference.AWS

Autorizzazioni per la creazione di ruoli IAM

Le operazioni seguenti richiedono autorizzazioni aggiuntive per completare l'operazione:

Puoi aggiungere queste autorizzazioni creando un ruolo in IAM prima di utilizzarle nella console Amazon ECS. Se non crei i ruoli, la console Amazon ECS li crea per tuo conto.

Autorizzazioni necessarie per registrare un'istanza esterna in un cluster

Hai bisogno di autorizzazioni aggiuntive quando registri un'istanza esterna in un cluster e desideri creare un nuovo ruolo di istanza esterna (ecsExternalInstanceRole).

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.

  • ssm: consente ai principali di registrare l'istanza esterna con Systems Manager.

Nota

Per scegliere un ruolo ecsExternalInstanceRole esistente, devi disporre delle autorizzazioni iam:GetRole e iam:PassRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsExternalInstanceRole. 

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": ["iam:PassRole","ssm:CreateActivation"],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        }
    ]
}

Autorizzazioni necessarie per la registrazione di una definizione di attività

Hai bisogno di autorizzazioni aggiuntive quando registri una definizione di attività e desideri creare un nuovo ruolo di esecuzione di attività (ecsTaskExecutionRole).

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.

Nota

Per scegliere un ruolo ecsTaskExecutionRole esistente, devi disporre dell'autorizzazione iam:GetRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsTaskExecutionRole. 

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
        }
    ]
}

Autorizzazioni necessarie per creare una EventBridge regola per le attività pianificate

Hai bisogno di autorizzazioni aggiuntive quando pianifichi un'attività e desideri creare un nuovo ruolo CloudWatch Events role (). ecsEventsRole

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate e di permettere ad Amazon ECS di trasmettere il ruolo ad altri servizi affinché lo assumano.

Nota

Per scegliere un ruolo ecsEventsRole esistente, devi disporre delle autorizzazioni iam:GetRole e iam:PassRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsEventsRole. 

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole",
              "iam: PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsEventsRole"
        }
    ]
}

Autorizzazioni necessarie per visualizzare le distribuzioni dei servizi

Se si segue la best practice di concessione del privilegio minimo, è necessario aggiungere autorizzazioni aggiuntive per visualizzare le distribuzioni dei servizi nella console.

È necessario accedere alle seguenti azioni:

  • ListServiceDeployments

  • DescribeServiceDeployments

  • DescribeServiceRevisions

È necessario accedere alle seguenti risorse:

  • Servizio

  • Distribuzione del servizio

  • Revisione del servizio

La seguente politica di esempio contiene le autorizzazioni richieste e limita le azioni a un servizio specificato.

Sostituisci accountcluster-name, e service-name con i tuoi valori.

{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "ecs:ListServiceDeployments",
              "ecs:DescribeServiceDeployments",
              "ecs:DescribeServiceRevisions"
            ],
            "Resource": [
             "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
             "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
             "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
            ]
        }
    ]
}