AmazonECS_FullAccess AmazonECSInfrastructureRolePolicyForVolumes AmazonEC2ContainerServiceforEC2Role AmazonEC2ContainerServiceEventsRole AmazonECSTaskExecutionRolePolicy AmazonECSServiceRolePolicy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity AWSApplicationAutoscalingECSServicePolicy AWSCodeDeployRoleForECS AWSCodeDeployRoleForECSLimited AmazonECSInfrastructureRolePolicyForVpcLattice 政策更新

AWS Amazon Elastic Container Service 的受管政策

若要將許可新增至使用者、群組和角色，使用 AWS 受管政策比自行撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識，而受管政策可為您的團隊提供其所需的許可。若要快速開始使用，您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例，並且可在您的帳戶中使用 AWS 。如需受 AWS 管政策的詳細資訊，請參閱《IAM 使用者指南》中的AWS 受管政策。

AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策，以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。服務最有可能在新功能啟動或新操作可用時更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可，因此政策更新不會破壞您現有的許可。

此外， AWS 支援跨多個服務之任務函數的受管政策。例如，ReadOnlyAccess AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時，會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明，請參閱 IAM 使用者指南中有關任務職能的AWS 受管政策。

Amazon ECS 和 Amazon ECR 提供多個受管政策和信任關係，您可將其連接至使用者、群組、角色、Amazon EC2 執行個體和 Amazon ECS 任務，允許對資源和 API 操作進行不同層級的控制。您可以直接套用這些政策，也可以使用它們開始建立您自己的政策。如需 Amazon ECR 受管政策的詳細資訊，請參閱 Amazon ECR 受管政策。

AmazonECS_FullAccess

您可將 AmazonECS_FullAccess 政策連接到 IAM 身分。此政策會授予 Amazon ECS 資源的管理存取權，並授予 IAM 身分（例如使用者、群組或角色）存取權給與 Amazon ECS 整合 AWS 的服務，以使用所有 Amazon ECS 功能。使用此政策可存取 AWS Management Console中可用的所有 Amazon ECS 功能。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AmazonECS_FullAccess。

AmazonECSInfrastructureRolePolicyForVolumes

您可以將 AmazonECSInfrastructureRolePolicyForVolumes 受管政策連接至 IAM 實體。

此政策會授予 Amazon ECS 代表您進行 AWS API 呼叫所需的許可。您可以在啟動 Amazon ECS 任務和服務時，將此政策連接至您隨磁碟區組態提供的 IAM 角色。此角色可讓 Amazon ECS 管理連接至任務的磁碟區。如需詳細資訊，請參閱 Amazon ECS 基礎設施 IAM 角色。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AmazonECSInfrastructureRolePolicyForVolumes。

AmazonEC2ContainerServiceforEC2Role

您可將 AmazonEC2ContainerServiceforEC2Role 政策連接到 IAM 身分。此政策會授予管理許可，允許 Amazon ECS 容器執行個體 AWS 代表您呼叫。如需詳細資訊，請參閱Amazon ECS 容器執行個體 IAM 角色。

Amazon ECS 會將此政策連接到服務角色，讓 Amazon ECS 能夠代表您對 Amazon EC2 執行個體或外部執行個體執行動作。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AmazonEC2ContainerServiceforEC2Role。

考量事項

使用 AmazonEC2ContainerServiceforEC2Role 受管 IAM 政策時，您應考慮下列建議和考量。

遵循授予最低權限的標準安全建議，您可以修改 AmazonEC2ContainerServiceforEC2Role 受管政策，以符合您的特定需求。如果您的使用案例不需要受管政策中授予的任何許可，請建立自訂政策並僅新增您需要的許可。例如，專為 Spot 執行個體耗盡而提供的 UpdateContainerInstancesState 許可。如果您的使用案例不需要該許可，請使用自訂政策將其排除。
在您的容器執行個體上執行的容器可透過「執行個體中繼資料」，存取所有提供給容器執行個體角色的許可。我們建議您將容器執行個體角色中的許可限制為受管 AmazonEC2ContainerServiceforEC2Role 政策所提供的最小許可清單。若您任務中的容器需要未列出的額外許可，我們建議您使用其專屬的 IAM 角色提供這些任務。如需詳細資訊，請參閱Amazon ECS 任務 IAM 角色。

您可以防止 docker0 橋接器上的容器存取容器執行個體角色提供的許可。您可以執行此操作，同時仍允許 Amazon ECS 任務 IAM 角色提供的許可，方法是在容器執行個體上執行下列 iptables 命令。此規則生效時，容器無法查詢執行個體中繼資料。此命令假設使用預設 Docker 橋接器組態，並且將無法使用採用 host 網路模式的容器。如需詳細資訊，請參閱網路模式。
```
sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
```
您必須將此 iptables 規則儲存在您的容器執行個體上，才能避免在重新開機時遭刪除。對於 Amazon ECS 最佳化 AMI，請使用下列命令。至於其他作業系統，請參閱該作業系統文件。
- 對於 Amazon ECS 最佳化 Amazon Linux 2 AMI：
```
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
```
- 對於 Amazon ECS 最佳化 Amazon Linux AMI：
```
sudo service iptables save
```

AmazonEC2ContainerServiceEventsRole

您可將 AmazonEC2ContainerServiceEventsRole 政策連接到 IAM 身分。此政策授予許可，允許 Amazon EventBridge (之前為 CloudWatch Events) 代您執行任務。此政策可連接至在建立排程任務時指定的 IAM 角色。如需詳細資訊，請參閱Amazon ECS EventBridge IAM 角色。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AmazonEC2ContainerServiceEventsRole。

AmazonECSTaskExecutionRolePolicy

AmazonECSTaskExecutionRolePolicy 受管 IAM 政策會授予 Amazon ECS 容器代理程式和 AWS Fargate 容器代理程式代表您進行 AWS API 呼叫所需的許可。此政策可新增至您的任務執行 IAM 角色。如需詳細資訊，請參閱Amazon ECS 任務執行 IAM 角色。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AmazonECSTaskExecutionRolePolicy。

AmazonECSServiceRolePolicy

AmazonECSServiceRolePolicy 受管 IAM 政策可讓 Amazon Elastic Container Service 管理您的叢集。此政策可新增至您的任務執行 IAM 角色。如需詳細資訊，請參閱Amazon ECS 任務執行 IAM 角色。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AmazonECSServiceRolePolicy。

`AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`

您可將 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity 政策附加至 IAM 實體。此政策會授予管理存取權 AWS Private Certificate Authority、Secrets Manager 和其他必要 AWS 服務，以代表您管理 Amazon ECS Service Connect TLS 功能。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity。

`AWSApplicationAutoscalingECSServicePolicy`

您無法將 AWSApplicationAutoscalingECSServicePolicy 連接至您的 IAM 實體。此政策會連接到服務連結角色，允許 Application Auto Scaling 代表您執行動作。如需詳細資訊，請參閱 Application Auto Scaling 的服務連結角色。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AWSApplicationAutoscalingECSServicePolicy。

`AWSCodeDeployRoleForECS`

您無法將 AWSCodeDeployRoleForECS 連接至您的 IAM 實體。此政策會連接到服務連結角色，可讓 CodeDeploy 代表您執行動作。如需詳細資訊，請參閱 《AWS CodeDeploy 使用者指南》中的建立 CodeDeploy 的服務角色。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AWSCodeDeployRoleForECS。

`AWSCodeDeployRoleForECSLimited`

您無法將 AWSCodeDeployRoleForECSLimited 連接至您的 IAM 實體。此政策會連接到服務連結角色，可讓 CodeDeploy 代表您執行動作。如需詳細資訊，請參閱 《AWS CodeDeploy 使用者指南》中的建立 CodeDeploy 的服務角色。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AWSCodeDeployRoleForECSLimited。

`AmazonECSInfrastructureRolePolicyForVpcLattice`

您可將 AmazonECSInfrastructureRolePolicyForVpcLattice 政策附加至 IAM 實體。此政策提供代表您管理 Amazon ECS 工作負載中 VPC Lattice 功能所需的其他 AWS 服務資源的存取權。

若要檢視此政策的許可，請參閱 AWS 受管政策參考中的 AmazonECSInfrastructureRolePolicyForVpcLattice。

提供代表您管理 Amazon ECS 工作負載中 VPC Lattice 功能所需的其他 AWS 服務資源的存取權。

受 AWS 管政策的 Amazon ECS 更新

檢視自此服務開始追蹤這些變更以來，Amazon ECS AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒，請訂閱 Amazon ECS 文件歷史記錄頁面上的 RSS 摘要。

變更	描述	日期
新增 AmazonECSInfrastructureRolePolicyForVpcLattice	提供代表您管理 Amazon ECS 工作負載中 VPC Lattice 功能所需的其他 AWS 服務資源的存取權。	2024 年 11 月 18 日
將許可新增至 AmazonECSInfrastructureRolePolicyForVolumes	`AmazonECSInfrastructureRolePolicyForVolumes` 已更新政策，讓客戶能夠從快照建立 Amazon EBS 磁碟區。	2024 年 10 月 10 日
新增許可至 AmazonECS_FullAccess	已更新`AmazonECS_FullAccess`政策，為名為的角色新增 IAM 角色的`iam:PassRole`許可`ecsInfrastructureRole`。這是建立的預設 IAM 角色 AWS Management Console ，旨在用作允許 Amazon ECS 管理連接到 ECS 任務的 Amazon EBS 磁碟區的 ECS 基礎設施角色。	2024 年 8 月 13 日
新增 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity 政策	新增了新的 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity 政策 AWS KMS，該政策提供對 Secrets Manager 的管理存取權 AWS Private Certificate Authority，並可讓 Amazon ECS Service Connect TLS 功能正常運作。	2024 年 1 月 22 日
新增政策 AmazonECSInfrastructureRolePolicyForVolumes	已新增`AmazonECSInfrastructureRolePolicyForVolumes`政策。此政策會授予 Amazon ECS 進行 AWS API 呼叫所需的許可，以管理與 Amazon ECS 工作負載相關聯的 Amazon EBS 磁碟區。	2024 年 1 月 11 日
新增許可至 AmazonECSServiceRolePolicy	`AmazonECSServiceRolePolicy` 受管 IAM 政策已更新為新的`events`許可和其他 `autoscaling` 和 `autoscaling-plans`許可。	2023 年 12 月 4 日
將許可新增至 AmazonEC2ContainerServiceEventsRole	受`AmazonECSServiceRolePolicy`管 IAM 政策已更新，以允許存取 `DiscoverInstancesRevision` API AWS Cloud Map 操作。	2023 年 10 月 4 日
新增許可至 AmazonEC2ContainerServiceforEC2Role	`AmazonEC2ContainerServiceforEC2Role` 政策已修改為新增`ecs:TagResource`許可，其中包括將許可限制為新建立的叢集和已註冊的容器執行個體的條件。	2023 年 3 月 6 日
新增許可至 AmazonECS_FullAccess	`AmazonECS_FullAccess` 政策已修改為新增`elasticloadbalancing:AddTags`許可，其中包括限制許可的條件，僅限於新建立的負載平衡器、目標群組、規則和建立的接聽程式。此許可不允許將標籤新增至任何已建立的 Elastic Load Balancing 資源。	2023 年 1 月 4 日
Amazon ECS 開始追蹤變更	Amazon ECS 開始追蹤其 AWS 受管政策的變更。	2021 年 6 月 8 日

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

身分型政策範例

AWS 已針對 Amazon ECS 逐步淘汰的受管政策

AWS Amazon Elastic Container Service 的 受管政策