Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon Elastic Container Service
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite piuttosto che scrivere le politiche autonomamente. La creazione di policy gestite dai clienti IAMche forniscono al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle politiche AWS gestite, consulta le politiche AWS gestite nella Guida IAM per l'utente.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per un elenco e le descrizioni delle politiche relative alle funzioni lavorative, consulta le politiche AWS gestite per le funzioni lavorative nella Guida per l'utente. IAM
Amazon ECS e Amazon ECR forniscono diverse politiche gestite e relazioni di fiducia che puoi associare a utenti, gruppi, ruoli, EC2 istanze Amazon e ECS attività Amazon che consentono diversi livelli di controllo su risorse e API operazioni. Puoi applicare queste policy direttamente oppure utilizzarle come punto di partenza per la creazione di tue policy. Per ulteriori informazioni sulle politiche ECR gestite di Amazon, consulta le politiche ECR gestite di Amazon.
Amazon ECS _ FullAccess
È possibile collegare la policy AmazonECS_FullAccess alle identità IAM. Questa politica concede l'accesso amministrativo alle ECS risorse Amazon e concede a un'IAMidentità (come un utente, un gruppo o un ruolo) l'accesso ai AWS servizi con cui ECS è integrato Amazon per utilizzare tutte le funzionalità di AmazonECS. L'utilizzo di questa politica consente l'accesso a tutte ECS le funzionalità di Amazon disponibili in AWS Management Console.
Per visualizzare le autorizzazioni per questa politica, consulta Amazon ECS _ FullAccess nel AWS Managed Policy Reference.
A mazonECSInfrastructure RolePolicyForVolumes
Puoi allegare la policy AmazonECSInfrastructureRolePolicyForVolumes gestita alle tue IAM entità.
La politica concede le autorizzazioni necessarie ECS ad Amazon per effettuare AWS API chiamate per tuo conto. Puoi collegare questa politica al IAM ruolo che offri nella configurazione del volume all'avvio di ECS attività e servizi Amazon. Il ruolo consente ECS ad Amazon di gestire i volumi associati alle tue attività. Per ulteriori informazioni, consulta il IAMruolo ECS dell'infrastruttura Amazon.
Per visualizzare le autorizzazioni per questa politica, consulta A mazonECSInfrastructure RolePolicyForVolumes nel AWS Managed Policy Reference.
Amazon EC2ContainerServiceforEC2Role
È possibile collegare la policy AmazonEC2ContainerServiceforEC2Role alle identità IAM. Questa politica concede autorizzazioni amministrative che consentono alle istanze di ECS container Amazon di effettuare chiamate per tuo AWS conto. Per ulteriori informazioni, consulta IAMRuolo dell'istanza di ECS container Amazon.
Amazon ECS attribuisce questa politica a un ruolo di servizio che consente ECS ad Amazon di eseguire azioni per tuo conto contro istanze Amazon o EC2 istanze esterne.
Per visualizzare le autorizzazioni per questa politica, consulta Amazon EC2ContainerServiceforEC2Role nel AWS Managed Policy Reference.
Considerazioni
È necessario prendere in considerazione i seguenti consigli e considerazioni quando si utilizza la politica gestita. AmazonEC2ContainerServiceforEC2Role IAM
-
Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, è possibile modificare la policy gestita da
AmazonEC2ContainerServiceforEC2Roleper soddisfare le esigenze specifiche. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste. Ad esempio, l'autorizzazioneUpdateContainerInstancesStateè fornita per lo svuotamento dell'istanza Spot. Se tale autorizzazione non è necessaria per il tuo caso d'uso, escludila utilizzando una policy personalizzata. -
I container in esecuzione sulle tue istanze di container hanno accesso a tutte le autorizzazioni che vengono fornite al ruolo dell'istanza di container tramite i metadati dell'istanza. Consigliamo di limitare le autorizzazioni nel ruolo dell'istanza di container all'elenco minimo delle autorizzazioni fornito nella policy
AmazonEC2ContainerServiceforEC2Rolegestita. Se i contenitori delle tue attività richiedono autorizzazioni aggiuntive che non sono elencate, ti consigliamo di assegnare a tali attività i propri ruoli. IAM Per ulteriori informazioni, consulta IAMRuolo ECS dell'attività di Amazon.È possibile impedire ai contenitori nel bridge
docker0l'accesso alle autorizzazioni fornite al ruolo dell'istanza di container. È possibile farlo pur concedendo le autorizzazioni fornite da IAMRuolo ECS dell'attività di Amazon eseguendo il seguente comando iptables sulle istanze del container. I container non possono eseguire query sui metadati dell'istanza con questa regola in vigore. Questo comando presuppone la configurazione del bridge Docker di default e non funziona per i container che utilizzano la modalità di retehost. Per ulteriori informazioni, consulta Modalità di rete.sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROPPer fare in modo che la regola iptables venga conservata dopo un riavvio, devi salvarla sull'istanza di container. Per Amazon ECS -optimizedAMI, usa il seguente comando. Per gli altri sistemi operativi, consulta la relativa documentazione specifica.
-
Per Amazon Linux 2 ECS AMI ottimizzato per Amazon:
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables -
Per Amazon Linux ECS AMI ottimizzato per Amazon:
sudo service iptables save
-
Amazon EC2ContainerServiceEventsRole
È possibile collegare la policy AmazonEC2ContainerServiceEventsRole alle identità IAM. Questa politica concede autorizzazioni che consentono ad Amazon EventBridge (precedentemente CloudWatch Events) di eseguire attività per tuo conto. Questa politica può essere associata al IAM ruolo specificato quando crei attività pianificate. Per ulteriori informazioni, consulta ECS EventBridge IAMRuolo di Amazon.
Per visualizzare le autorizzazioni per questa politica, consulta Amazon EC2ContainerServiceEventsRole nel AWS Managed Policy Reference.
Un mazonECSTask ExecutionRolePolicy
La IAM policy AmazonECSTaskExecutionRolePolicy gestita concede le autorizzazioni necessarie all'agente ECS container Amazon e agli agenti AWS Fargate container per effettuare AWS API chiamate per tuo conto. Questa politica può essere aggiunta al tuo ruolo di esecuzione IAM delle attività. Per ulteriori informazioni, consulta IAMRuolo di esecuzione delle ECS attività di Amazon.
Per visualizzare le autorizzazioni per questa politica, vedere A mazonECSTask ExecutionRolePolicy nel AWS Managed Policy Reference.
A mazonECSService RolePolicy
La IAM policy AmazonECSServiceRolePolicy gestita consente ad Amazon Elastic Container Service di gestire il cluster. Questa policy può essere aggiunta al tuo IAM ruolo di esecuzione delle attività. Per ulteriori informazioni, consulta IAMRuolo di esecuzione delle ECS attività di Amazon.
Per visualizzare le autorizzazioni per questa politica, vedere A mazonECSService RolePolicy nel AWS Managed Policy Reference.
AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
Puoi allegare la AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity policy alle tue IAM entità. Questa politica concede l'accesso amministrativo a AWS Private Certificate Authority Secrets Manager e ad altri AWS servizi necessari per gestire le TLS funzionalità di Amazon ECS Service Connect per tuo conto.
Per visualizzare le autorizzazioni per questa politica, consulta A mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity nel AWS Managed Policy Reference.
AWSApplicationAutoscalingECSServicePolicy
Non puoi collegare AWSApplicationAutoscalingECSServicePolicy alle tue entità IAM. Questa policy è collegata a un ruolo collegato ai servizi che consente ad Application Auto Scaling di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Application Auto Scaling.
Per vedere le autorizzazioni per questa policy, consulta AWSApplicationAutoscalingECSServicePolicy nella Guida di riferimento sulle policy gestite da AWS .
AWSCodeDeployRoleForECS
Non puoi collegare AWSCodeDeployRoleForECS alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CodeDeploy per conto dell'utente. Per ulteriori informazioni, consulta Creare un ruolo di servizio CodeDeploy nella Guida per l'AWS CodeDeploy utente.
Per vedere le autorizzazioni per questa policy, consulta AWSCodeDeployRoleForECS nella Guida di riferimento sulle policy gestite da AWS .
AWSCodeDeployRoleForECSLimited
Non puoi collegare AWSCodeDeployRoleForECSLimited alle tue entità IAM. Questa politica è associata a un ruolo collegato al servizio che consente di eseguire azioni CodeDeploy per conto dell'utente. Per ulteriori informazioni, consulta Creare un ruolo di servizio CodeDeploy nella Guida per l'AWS CodeDeploy utente.
Per vedere le autorizzazioni per questa policy, consulta AWSCodeDeployRoleForECSLimited nella Guida di riferimento sulle policy gestite da AWS .
AmazonECSInfrastructureRolePolicyForVpcLattice
Puoi allegare la AmazonECSInfrastructureRolePolicyForVpcLattice politica alle tue IAM entità. Questa politica fornisce l'accesso ad altre risorse AWS di servizio necessarie per gestire la funzionalità VPC Lattice nei ECS carichi di lavoro Amazon per tuo conto.
Per visualizzare le autorizzazioni per questa politica, consulta A mazonECSInfrastructure RolePolicyForVpcLattice nel AWS Managed Policy Reference.
Fornisce l'accesso ad altre risorse AWS di servizio necessarie per gestire la funzionalità VPC Lattice nei ECS carichi di lavoro Amazon per tuo conto.
ECSAggiornamenti Amazon alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon ECS da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia di Amazon ECS Document.
| Modifica | Descrizione | Data |
|---|---|---|
|
Aggiungi un nuovo A. mazonECSInfrastructure RolePolicyForVpcLattice |
Fornisce l'accesso ad altre risorse AWS di servizio necessarie per gestire la funzionalità VPC Lattice nei ECS carichi di lavoro Amazon per tuo conto. | 18 novembre 2024 |
|
Aggiungi le autorizzazioni a A mazonECSInfrastructure RolePolicyForVolumes |
La AmazonECSInfrastructureRolePolicyForVolumes policy è stata aggiornata per consentire ai clienti di creare un EBS volume Amazon da uno snapshot. |
10 ottobre 2024 |
|
Autorizzazioni aggiunte a Amazon ECS _ FullAccess |
La AmazonECS_FullAccess politica è stata aggiornata per aggiungere iam:PassRole le autorizzazioni per IAM i ruoli per un ruolo denominato. ecsInfrastructureRole Questo è il IAM ruolo predefinito creato da AWS Management Console che deve essere utilizzato come ruolo di ECS infrastruttura che consente ECS ad Amazon di gestire i EBS volumi Amazon collegati alle ECS attività. |
13 agosto 2024 |
|
Aggiungi una nuova mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity politica A. |
È stata aggiunta una nuova mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity policy che fornisce l'accesso amministrativo a AWS KMS Secrets Manager e consente alle TLS funzionalità ECS di Amazon Service Connect di funzionare correttamente. AWS Private Certificate Authority |
22 gennaio 2024 |
|
Aggiungi nuova politica A mazonECSInfrastructure RolePolicyForVolumes |
La AmazonECSInfrastructureRolePolicyForVolumes politica è stata aggiunta. La policy concede le autorizzazioni necessarie ECS ad Amazon per effettuare AWS API chiamate per gestire i EBS volumi Amazon associati ai carichi di lavoro AmazonECS. |
11 gennaio 2024 |
La IAM politica AmazonECSServiceRolePolicy gestita è stata aggiornata con nuove events autorizzazioni e autorizzazioni autoscaling e autoscaling-plans aggiuntive. |
4 dicembre 2023 | |
|
Aggiungi autorizzazioni ad Amazon EC2ContainerServiceEventsRole |
La IAM policy AmazonECSServiceRolePolicy gestita è stata aggiornata per consentire l'accesso all' AWS Cloud Map
DiscoverInstancesRevisionAPIoperazione. |
4 ottobre 2023 |
|
Aggiungi autorizzazioni ad Amazon EC2ContainerServiceforEC2Role |
La AmazonEC2ContainerServiceforEC2Role politica è stata modificata per aggiungere l'ecs:TagResourceautorizzazione, che include una condizione che limita l'autorizzazione solo ai cluster appena creati e alle istanze di container registrate. |
6 marzo 2023 |
|
Aggiunta di autorizzazioni a Amazon ECS _ FullAccess |
La AmazonECS_FullAccess politica è stata modificata per aggiungere l'elasticloadbalancing:AddTagsautorizzazione, che include una condizione che limita l'autorizzazione solo ai sistemi di bilanciamento del carico, ai gruppi target, alle regole e ai listener creati di recente. Questa autorizzazione non consente l'aggiunta di tag a risorse Elastic Load Balancing già create. |
4 gennaio 2023 |
|
Amazon ECS ha iniziato a tracciare le modifiche |
Amazon ECS ha iniziato a tracciare le modifiche alle sue politiche AWS gestite. |
8 giugno 2021 |
