Permissões necessárias para usar o console do Amazon ECS
Ao seguir a prática recomendada de conceder privilégio mínimo, é possível usar a política gerenciada AmazonECS_FullAccess
como um modelo para criar sua própria política personalizada. Dessa forma, você pode retirar ou adicionar permissões à política gerenciada com base nos seus requisitos específicos. Para obter mais informações, consulte AmazonECS_FullAccess na Referência de políticas gerenciadas pela AWS.
Permissões para criar perfis do IAM
As ações a seguir exigem permissões adicionais para concluir a operação:
-
Registro de uma instância externa - para obter mais informações, consulte Perfil do IAM para o Amazon ECS Anywhere
-
Registro de uma definição de tarefa - para obter mais informações, consulte Função do IAM de execução de tarefas do Amazon ECS
-
Criação de uma regra do EventBridge para uso no agendamento de tarefas - para obter mais informações, consulte Perfil do IAM para EventBridge do Amazon ECS
É possível adicionar essas permissões criando um perfil no IAM antes de usá-las no console do Amazon ECS. Se você não criar as funções, o console do Amazon ECS as criará em seu nome.
Permissões necessárias para registrar uma instância externa em um cluster
Você precisa de permissões adicionais ao registrar uma instância externa em um cluster e quiser criar um novo perfil de instância externa (ecsExternalInstanceRole
).
As permissões adicionais a seguir são necessárias:
-
iam
: permite que as entidades principais listem perfis do IAM e suas políticas anexadas. -
ssm
: permite que os diretores registrem a instância externa no Systems Manager.
nota
Para escolher um ecsExternalInstanceRole
existente, você deve ter as permissões iam:GetRole
e iam:PassRole
.
A política a seguir contém as permissões necessárias e limita as ações ao perfil ecsExternalInstanceRole
.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" } ] }
Permissões necessárias para registrar uma definição de tarefa
Você precisa de permissões adicionais ao registrar uma definição de tarefa e quiser criar um novo perfil de execução de tarefas (ecsTaskExecutionRole
).
As permissões adicionais a seguir são necessárias:
-
iam
: permite que as entidades principais listem perfis do IAM e suas políticas anexadas.
nota
Para escolher um ecsTaskExecutionRole
existente, você deve ter a permissão iam:GetRole
.
A política a seguir contém as permissões necessárias e limita as ações ao perfil ecsTaskExecutionRole
.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
Permissões necessárias para criar uma regra do EventBridge para tarefas agendadas
Você precisa de permissões adicionais ao programar uma tarefa e se quiser criar uma novo perfil do CloudWatch Events (ecsEventsRole
).
As permissões adicionais a seguir são necessárias:
-
iam
: permite que as entidades principais criem e listem perfis do IAM e suas políticas associadas, além de permitir que o Amazon ECS passe o perfil para outros serviços assumirem o perfil.
nota
Para escolher um ecsEventsRole
existente, você deve ter as permissões iam:GetRole
e iam:PassRole
.
A política a seguir contém as permissões necessárias e limita as ações ao perfil ecsEventsRole
.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam: PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
Permissões necessárias para visualizar implantações de serviço
Ao seguir a prática recomendada de conceder privilégio mínimo, é necessário adicionar permissões adicionais para visualizar implantações de serviço no console.
É necessário ter acesso às seguintes ações:
ListServiceDeployments
DescribeServiceDeployments
DescribeServiceRevisions
É necessário ter acesso aos seguintes recursos:
Serviço
Implantação de serviços
Revisão de serviços
O exemplo de política a seguir contém as permissões necessárias e limita as ações a um serviço especificado.
Substitua account
, cluster-name
e service-name
por seus próprios valores.
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ListServiceDeployments", "ecs:DescribeServiceDeployments", "ecs:DescribeServiceRevisions" ], "Resource": [ "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name", "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*", "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*" ] } ] }