Amazon ECS 控制台所需的权限
遵循授予最低权限的最佳实践,您可以使用 AmazonECS_FullAccess 托管策略作为创建您自己的自定义策略的模板。这样,您就可以根据您的特定要求取消或添加托管策略的权限。有关更多信息,请参阅 权限详细信息。
创建 IAM 角色的权限
以下操作需要额外的权限才能完成操作:
-
注册外部实例 - 有关更多信息,请参阅 Amazon ECS Anywhere IAM 角色
-
注册任务定义 - 有关更多信息,请参阅 Amazon ECS 任务执行 IAM 角色
-
创建用于计划任务的 EventBridge 规则 - 有关更多信息,请参阅 Amazon ECS EventBridge IAM 角色
您可以通过先在 IAM 中创建角色来添加这些权限,然后再在 Amazon ECS 控制台中使用这些权限。如果您没有创建角色,Amazon ECS 控制台将代表您创建角色。
将外部实例注册到集群所需的权限
在向集群注册外部实例并想要创建新的外部实例(ecsExternalInstanceRole)角色时,您需要额外的权限。
需要以下额外权限:
-
iam– 允许主体创建并列出 IAM 角色及其附加的策略。 -
ssm– 允许主体向 Systems Manager 注册外部实例。
注意
要选择现有的 ecsExternalInstanceRole,您必须拥有 iam:GetRole 和 iam:PassRole 权限。
以下策略包含所需的权限,并将操作限制到 ecsExternalInstanceRole 角色。
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" } ] }
注册任务定义所需的权限
注册任务定义并想要创建新的任务执行(ecsTaskExecutionRole)角色时,您需要额外的权限。
需要以下额外权限:
-
iam– 允许主体创建并列出 IAM 角色及其附加的策略。
注意
要选择现有的 ecsTaskExecutionRole,您必须拥有 iam:GetRole 权限。
以下策略包含所需的权限,并将操作限制到 ecsTaskExecutionRole 角色。
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
为计划任务创建 EventBridge 规则所需的权限
在计划任务并想要创建新的 CloudWatch Events 角色(ecsEventsRole)角色时,您需要额外的权限。
需要以下额外权限:
-
iam– 允许主体创建和列出 IAM 角色及其附加策略,并允许 Amazon ECS 将角色传递给其他服务以代入该角色。
注意
要选择现有的 ecsEventsRole,您必须拥有 iam:GetRole 和 iam:PassRole 权限。
以下策略包含所需的权限,并将操作限制到 ecsEventsRole 角色。
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam: PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
