Permissões para criar perfis do IAM Permissões necessárias para registrar uma instância externa em um cluster Permissões necessárias para registrar uma definição de tarefa Permissões necessárias para criar uma regra do EventBridge para tarefas agendadas Permissões necessárias para visualizar implantações de serviço

Permissões necessárias para usar o console do Amazon ECS

Ao seguir a prática recomendada de conceder privilégio mínimo, é possível usar a política gerenciada AmazonECS_FullAccess como um modelo para criar sua própria política personalizada. Dessa forma, você pode retirar ou adicionar permissões à política gerenciada com base nos seus requisitos específicos. Para obter mais informações, consulte AmazonECS_FullAccess na Referência de políticas gerenciadas pela AWS.

Permissões para criar perfis do IAM

As ações a seguir exigem permissões adicionais para concluir a operação:

Registro de uma instância externa - para obter mais informações, consulte Perfil do IAM para o Amazon ECS Anywhere
Registro de uma definição de tarefa - para obter mais informações, consulte Função do IAM de execução de tarefas do Amazon ECS
Criação de uma regra do EventBridge para uso no agendamento de tarefas - para obter mais informações, consulte Perfil do IAM para EventBridge do Amazon ECS

É possível adicionar essas permissões criando um perfil no IAM antes de usá-las no console do Amazon ECS. Se você não criar as funções, o console do Amazon ECS as criará em seu nome.

Permissões necessárias para registrar uma instância externa em um cluster

Você precisa de permissões adicionais ao registrar uma instância externa em um cluster e quiser criar um novo perfil de instância externa (ecsExternalInstanceRole).

As permissões adicionais a seguir são necessárias:

iam: permite que as entidades principais listem perfis do IAM e suas políticas anexadas.
ssm: permite que os diretores registrem a instância externa no Systems Manager.

nota

Para escolher um ecsExternalInstanceRole existente, você deve ter as permissões iam:GetRole e iam:PassRole.

A política a seguir contém as permissões necessárias e limita as ações ao perfil ecsExternalInstanceRole.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": ["iam:PassRole","ssm:CreateActivation"],
            "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
        }
    ]
}

Permissões necessárias para registrar uma definição de tarefa

Você precisa de permissões adicionais ao registrar uma definição de tarefa e quiser criar um novo perfil de execução de tarefas (ecsTaskExecutionRole).

As permissões adicionais a seguir são necessárias:

iam: permite que as entidades principais listem perfis do IAM e suas políticas anexadas.

nota

Para escolher um ecsTaskExecutionRole existente, você deve ter a permissão iam:GetRole.

A política a seguir contém as permissões necessárias e limita as ações ao perfil ecsTaskExecutionRole.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
        }
    ]
}

Permissões necessárias para criar uma regra do EventBridge para tarefas agendadas

Você precisa de permissões adicionais ao programar uma tarefa e se quiser criar uma novo perfil do CloudWatch Events (ecsEventsRole).

As permissões adicionais a seguir são necessárias:

iam: permite que as entidades principais criem e listem perfis do IAM e suas políticas associadas, além de permitir que o Amazon ECS passe o perfil para outros serviços assumirem o perfil.

nota

Para escolher um ecsEventsRole existente, você deve ter as permissões iam:GetRole e iam:PassRole.

A política a seguir contém as permissões necessárias e limita as ações ao perfil ecsEventsRole.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:GetRole",
              "iam: PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsEventsRole"
        }
    ]
}

Permissões necessárias para visualizar implantações de serviço

Ao seguir a prática recomendada de conceder privilégio mínimo, é necessário adicionar permissões adicionais para visualizar implantações de serviço no console.

É necessário ter acesso às seguintes ações:

ListServiceDeployments
DescribeServiceDeployments
DescribeServiceRevisions

É necessário ter acesso aos seguintes recursos:

Serviço
Implantação de serviços
Revisão de serviços

O exemplo de política a seguir contém as permissões necessárias e limita as ações a um serviço especificado.

Substitua account, cluster-name e service-name por seus próprios valores.


{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "ecs:ListServiceDeployments",
              "ecs:DescribeServiceDeployments",
              "ecs:DescribeServiceRevisions"
            ],
            "Resource": [
             "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
             "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
             "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
            ]
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Perfil do IAM para EventBridge

Permissões necessárias para usar o console do Amazon ECS com o AWS CloudFormation