Permissões necessárias para usar o console do Amazon ECS
Ao seguir a prática recomendada de conceder privilégio mínimo, é possível usar a política gerenciada AmazonECS_FullAccess como um modelo para criar sua própria política personalizada. Dessa forma, você pode retirar ou adicionar permissões à política gerenciada com base nos seus requisitos específicos. Para ter mais informações, consulte Detalhes da permissão.
Permissões para criar perfis do IAM
As ações a seguir exigem permissões adicionais para concluir a operação:
-
Registro de uma instância externa - para obter mais informações, consulte Perfil do IAM para o Amazon ECS Anywhere
-
Registro de uma definição de tarefa - para obter mais informações, consulte Função do IAM de execução de tarefas do Amazon ECS
-
Criação de uma regra do EventBridge para uso no agendamento de tarefas - para obter mais informações, consulte Perfil do IAM para EventBridge do Amazon ECS
É possível adicionar essas permissões criando um perfil no IAM antes de usá-las no console do Amazon ECS. Se você não criar as funções, o console do Amazon ECS as criará em seu nome.
Permissões necessárias para registrar uma instância externa em um cluster
Você precisa de permissões adicionais ao registrar uma instância externa em um cluster e quiser criar um novo perfil de instância externa (ecsExternalInstanceRole).
As permissões adicionais a seguir são necessárias:
-
iam: permite que as entidades principais listem perfis do IAM e suas políticas anexadas. -
ssm: permite que os diretores registrem a instância externa no Systems Manager.
nota
Para escolher um ecsExternalInstanceRole existente, você deve ter as permissões iam:GetRole e iam:PassRole.
A política a seguir contém as permissões necessárias e limita as ações ao perfil ecsExternalInstanceRole.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" } ] }
Permissões necessárias para registrar uma definição de tarefa
Você precisa de permissões adicionais ao registrar uma definição de tarefa e quiser criar um novo perfil de execução de tarefas (ecsTaskExecutionRole).
As permissões adicionais a seguir são necessárias:
-
iam: permite que as entidades principais listem perfis do IAM e suas políticas anexadas.
nota
Para escolher um ecsTaskExecutionRole existente, você deve ter a permissão iam:GetRole.
A política a seguir contém as permissões necessárias e limita as ações ao perfil ecsTaskExecutionRole.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
Permissões necessárias para criar uma regra do EventBridge para tarefas agendadas
Você precisa de permissões adicionais ao programar uma tarefa e se quiser criar uma novo perfil do CloudWatch Events (ecsEventsRole).
As permissões adicionais a seguir são necessárias:
-
iam: permite que as entidades principais criem e listem perfis do IAM e suas políticas associadas, além de permitir que o Amazon ECS passe o perfil para outros serviços assumirem o perfil.
nota
Para escolher um ecsEventsRole existente, você deve ter as permissões iam:GetRole e iam:PassRole.
A política a seguir contém as permissões necessárias e limita as ações ao perfil ecsEventsRole.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam: PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
