Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autorizzazioni necessarie per la console Amazon ECS
Seguendo la best practice per concedere il privilegio minimo, è possibile utilizzare la policy gestita di `AmazonECS_FullAccess` come modello per la creazione di policy personalizzate. In questo modo, è possibile rimuovere o aggiungere autorizzazioni da e verso le policy gestite in base ai requisiti specifici. *Per ulteriori informazioni, consulta [AmazoneCS\$1 FullAccess nel Managed Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) Reference.AWS *
## Autorizzazioni per la creazione di ruoli IAM
Le operazioni seguenti richiedono autorizzazioni aggiuntive per completare l'operazione:
+ Registrazione di un'istanza esterna: per ulteriori informazioni, consulta [Ruolo IAM di Amazon ECS Anywhere](iam-role-ecsanywhere.md)
+ Registrazione di una definizione di attività: per ulteriori informazioni, consulta [Ruolo IAM di esecuzione di attività Amazon ECS](task_execution_IAM_role.md)
+ Creazione di una EventBridge regola da utilizzare per la pianificazione delle attività: per ulteriori informazioni, consulta [Ruolo EventBridge IAM di Amazon ECS](CWE_IAM_role.md)
Puoi aggiungere queste autorizzazioni creando un ruolo in IAM prima di utilizzarle nella console Amazon ECS. Se non crei i ruoli, la console Amazon ECS li crea per tuo conto.
## Autorizzazioni necessarie per la registrazione di un'istanza esterna in un cluster
Hai bisogno di autorizzazioni aggiuntive quando registri un'istanza esterna in un cluster e desideri creare un nuovo ruolo di istanza esterna (`ecsExternalInstanceRole`).
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
+ `iam`: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.
+ Sono: AttachRolePolicy
+ Io sono: CreateRole
+ Io sono: CreateInstanceProfile
+ sono: AddRoleToInstanceProfile
+ Io sono: ListInstanceProfilesForRole
+ Io sono: GetRole
+ `ssm`: consente ai principali di registrare l'istanza esterna con Systems Manager.
**Nota**
Per scegliere un ruolo `ecsExternalInstanceRole` esistente, devi disporre delle autorizzazioni `iam:GetRole` e `iam:PassRole`.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo `ecsExternalInstanceRole`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:ListInstanceProfilesForRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole","ssm:CreateActivation"],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
}
]
}
```
------
## Autorizzazioni necessarie per la registrazione di una definizione di attività
Hai bisogno di autorizzazioni aggiuntive quando registri una definizione di attività e desideri creare un nuovo ruolo di esecuzione di attività (`ecsTaskExecutionRole`).
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
+ `iam`: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.
+ Io sono: AttachRolePolicy
+ Io sono: CreateRole
+ Io sono: GetRole
**Nota**
Per scegliere un ruolo `ecsTaskExecutionRole` esistente, devi disporre dell'autorizzazione `iam:GetRole`.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo `ecsTaskExecutionRole`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
}
]
}
```
------
## Autorizzazioni necessarie per usare Amazon Q Developer per fornire consigli nella console
Affinché Amazon Q Developer fornisca raccomandazioni nella console Amazon ECS, è necessario abilitare le autorizzazioni IAM corrette per il proprio utente o ruolo IAM. Devi aggiungere l'autorizzazione `codewhisperer:GenerateRecommendations`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperPermissions",
"Effect": "Allow",
"Action": ["codewhisperer:GenerateRecommendations"],
"Resource": "*"
}
]
}
```
------
Per utilizzare la chat in linea nella console Amazon ECS, è necessario abilitare le autorizzazioni IAM corrette per il ruolo o l'utente IAM. Devi aggiungere l'autorizzazione `q:SendMessage`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperInlineChatPermissions",
"Effect": "Allow",
"Action": ["q:SendMessage"],
"Resource": "*"
}
]
}
```
------
## Autorizzazioni necessarie per creare una EventBridge regola per le attività pianificate
Hai bisogno di autorizzazioni aggiuntive quando pianifichi un'attività e desideri creare un nuovo ruolo CloudWatch Events role (`ecsEventsRole`).
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
+ `iam`: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate e di permettere ad Amazon ECS di trasmettere il ruolo ad altri servizi affinché lo assumano.
**Nota**
Per scegliere un ruolo `ecsEventsRole` esistente, devi disporre delle autorizzazioni `iam:GetRole` e `iam:PassRole`.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo `ecsEventsRole`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/ecsEventsRole"
}
]
}
```
------
## Autorizzazioni richieste per visualizzare le implementazioni del servizio
Quando si segue la best practice della concessione dei privilegi minimi, è necessario aggiungere ulteriori autorizzazioni per visualizzare le implementazioni del servizio nella console.
È necessario accedere alle seguenti azioni:
+ ListServiceDeployments
+ DescribeServiceDeployments
+ DescribeServiceRevisions
È necessario accedere alle seguenti risorse:
+ Servizio
+ Implementazioni del servizio
+ Revisione del servizio
La seguente policy di esempio contiene le autorizzazioni necessarie e limita le operazioni a un servizio specifico.
Sostituire `account`, `cluster-name` e `service-name` con i valori.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ListServiceDeployments",
"ecs:DescribeServiceDeployments",
"ecs:DescribeServiceRevisions"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
"arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
"arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
]
}
]
}
```
------
## Autorizzazioni necessarie per visualizzare gli eventi del ciclo di vita di Amazon ECS in Approfondimenti sui container
Per visualizzare gli eventi del ciclo di vita sono necessarie le seguenti autorizzazioni. Aggiungi le autorizzazioni seguenti come policy in linea al ruolo. Per ulteriori informazioni, consulta [Aggiunta e rimozione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
+ eventi: DescribeRule
+ eventi: ListTargetsByRule
+ registri: DescribeLogGroups
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule",
"logs:DescribeLogGroups"
],
"Resource": "*"
}
]
}
```
------
## Autorizzazioni necessarie per abilitare gli eventi del ciclo di vita di Amazon ECS in Approfondimenti sui container
Per configurare gli eventi del ciclo di vita sono necessarie le seguenti autorizzazioni:
+ eventi: PutRule
+ eventi: PutTargets
+ registri: CreateLogGroup
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets",
"logs:CreateLogGroup"
],
"Resource": "*"
}
]
}
```
------
# Autorizzazioni richieste per la console Amazon ECS con CloudFormation
Prima di Console di gestione AWS utilizzarlo per creare le tue risorse, devi assicurarti di disporre delle autorizzazioni IAM corrette. Per informazioni su come impostare le autorizzazioni per la console Amazon ECS in generale, consulta [Autorizzazioni richieste per la console Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/console-permissions.html) ECS.
La console Amazon ECS è alimentata da AWS CloudFormation e richiede autorizzazioni IAM aggiuntive nei seguenti casi:
+ Creazione di un cluster
+ Creazione di un servizio
+ Creazione di un provider di capacità
Puoi creare una policy per le autorizzazioni aggiuntive e quindi collegarle al ruolo IAM che utilizzi per accedere alla console. Per ulteriori informazioni, consulta [Creating IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) nella *Guida per l’utente di IAM*.
## Autorizzazioni necessarie per la creazione di un cluster
Quando crei un cluster nella console, hai bisogno di autorizzazioni aggiuntive che ti concedano le autorizzazioni per gestire gli stack. CloudFormation
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
+ `cloudformation`: consente ai principali di creare e gestire stack CloudFormation . Ciò è necessario quando si creano cluster Amazon ECS tramite la Console di gestione AWS e la successiva gestione di tali cluster.
+ `ssm`— Consente di CloudFormation fare riferimento alle più recenti AMI ottimizzate per Amazon ECS. Ciò è necessario quando si creano cluster Amazon ECS utilizzando. Console di gestione AWS
La seguente policy contiene le CloudFormation autorizzazioni richieste e limita le azioni alle risorse create nella console Amazon ECS.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStack*",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*"
]
},
{
"Effect": "Allow",
"Action": "ssm:GetParameters",
"Resource": [
"arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2*/*",
"arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2023*/*"
]
}
]
}
```
------
Se non hai creato il ruolo dell'istanza di container Amazon ECS (`ecsInstanceRole`) e stai creando un cluster che utilizza istanze Amazon EC2, la console creerà il ruolo per tuo conto.
Inoltre, se utilizzi gruppi con dimensionamento automatico, sono necessarie autorizzazioni aggiuntive affinché la console possa aggiungere tag ai gruppi con dimensionamento automatico quando si utilizza la funzionalità di dimensionamento automatico del cluster.
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
+ `autoscaling`: consente alla console di assegnare tag al gruppo con Amazon EC2 Auto Scaling. Questa funzionalità è necessaria per la gestione dei gruppi con Amazon EC2 Auto Scaling quando si utilizza la funzione di dimensionamento automatico del cluster. Il tag è il tag gestito da ECS che la console aggiunge in automatico al gruppo per indicare che è stato creato nella console.
+ `iam`: consente ai principali di elencare i ruoli IAM e le relative policy associate. I principali possono anche elencare i profili dell'istanza disponibili per le istanze Amazon EC2.
La policy seguente contiene le autorizzazioni IAM necessarie e limita le operazioni al ruolo `ecsInstanceRole`.
Le autorizzazioni di dimensionamento automatico non sono limitate.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:ListInstanceProfilesForRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsInstanceRole"
},
{
"Effect": "Allow",
"Action": "autoscaling:CreateOrUpdateTags",
"Resource": "*"
}
]
}
```
------
## Autorizzazioni necessarie per la creazione di un servizio
Quando crei un servizio nella console, hai bisogno di autorizzazioni aggiuntive che ti concedano le autorizzazioni per gestire gli stack. CloudFormation Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
+ `cloudformation`: consente ai principali di creare e gestire stack CloudFormation . Ciò è necessario quando si creano servizi Amazon ECS utilizzando la Console di gestione AWS e la successiva gestione di tali cluster.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni alle risorse create nella console Amazon ECS.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStack*",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*"
]
}
]
}
```
------