本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon Elastic Container Service 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並且可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
Amazon ECS 和 Amazon ECR 提供多個受管政策和信任關係,您可將其連接至使用者、群組、角色、Amazon EC2 執行個體和 Amazon ECS 任務,允許對資源和 API 操作進行不同層級的控制。您可以直接套用這些政策,也可以使用它們開始建立您自己的政策。如需 Amazon ECR 受管政策的詳細資訊,請參閱 [Amazon ECR 受管政策](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr_managed_policies.html)。
## AmazonECS\$1FullAccess
您可將 `AmazonECS_FullAccess` 政策連接到 IAM 身分。此政策會授予 Amazon ECS 資源的管理存取權,並授予 IAM 身分 (例如使用者、群組或角色) 存取權給與 Amazon ECS 整合 AWS 的服務,以使用所有 Amazon ECS 功能。使用此政策可存取 AWS 管理主控台中可用的所有 Amazon ECS 功能。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonECS\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html)。
## AmazonECSInfrastructureRolePolicyForVolumes
您可將 `AmazonECSInfrastructureRolePolicyForVolumes` 受管政策連接到 IAM 實體。
此政策會授予 Amazon ECS 代表您進行 AWS API 呼叫所需的許可。您可以在啟動 Amazon ECS 任務與服務時,將此政策連接至隨磁碟區組態提供的 IAM 角色。此角色允許 Amazon ECS 管理連接至任務的磁碟區。如需詳細資訊,請參閱 [Amazon ECS 基礎結構 IAM 角色](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/infrastructure_IAM_role.html)。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html)。
## AmazonEC2ContainerServiceforEC2Role
您可將 `AmazonEC2ContainerServiceforEC2Role` 政策連接到 IAM 身分。此政策會授予管理許可,允許 Amazon ECS 容器執行個體 AWS 代表您呼叫 。如需詳細資訊,請參閱[Amazon ECS 容器執行個體 IAM 角色](instance_IAM_role.md)。
Amazon ECS 會將此政策連接到服務角色,讓 Amazon ECS 能夠代表您對 Amazon EC2 執行個體或外部執行個體執行動作。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonEC2ContainerServiceforEC2Role](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceforEC2Role.html)。
### 考量事項
使用 `AmazonEC2ContainerServiceforEC2Role` 受管 IAM 政策時,您應考慮下列建議和考量。
+ 遵循授予最低權限的標準安全建議,您可以修改 `AmazonEC2ContainerServiceforEC2Role` 受管政策,以符合您的特定需求。如果您的使用案例不需要受管政策中授予的任何許可,請建立自訂政策並僅新增您需要的許可。例如,專為 Spot 執行個體耗盡而提供的 `UpdateContainerInstancesState` 許可。如果您的使用案例不需要該許可,請使用自訂政策將其排除。
+ 在您的容器執行個體上執行的容器可透過「[執行個體中繼資料](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html)」,存取所有提供給容器執行個體角色的許可。我們建議您將容器執行個體角色中的許可限制為受管 `AmazonEC2ContainerServiceforEC2Role` 政策所提供的最小許可清單。若您任務中的容器需要未列出的額外許可,我們建議您使用其專屬的 IAM 角色提供這些任務。如需詳細資訊,請參閱[Amazon ECS 任務 IAM 角色](task-iam-roles.md)。
您可以防止 `docker0` 橋接器上的容器存取容器執行個體角色提供的許可。您可以執行此操作,同時仍允許 [Amazon ECS 任務 IAM 角色](task-iam-roles.md) 提供的許可,方法是在容器執行個體上執行下列 **iptables** 命令。此規則生效時,容器無法查詢執行個體中繼資料。此命令假設使用預設 Docker 橋接器組態,並且將無法使用採用 `host` 網路模式的容器。如需詳細資訊,請參閱[網路模式](task_definition_parameters.md#network_mode)。
```
sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
```
您必須將此 **iptables** 規則儲存在您的容器執行個體上,才能避免在重新開機時遭刪除。對於 Amazon ECS 最佳化 AMI,請使用下列命令。至於其他作業系統,請參閱該作業系統文件。
+ 對於 Amazon ECS 最佳化 Amazon Linux 2 AMI:
```
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
```
+ 對於 Amazon ECS 最佳化 Amazon Linux AMI:
```
sudo service iptables save
```
## AmazonEC2ContainerServiceEventsRole
您可將 `AmazonEC2ContainerServiceEventsRole` 政策連接到 IAM 身分。此政策授予許可,允許 Amazon EventBridge (之前為 CloudWatch Events) 代您執行任務。此政策可連接至在建立排程任務時指定的 IAM 角色。如需詳細資訊,請參閱[Amazon ECS EventBridge IAM 角色](CWE_IAM_role.md)。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonEC2ContainerServiceEventsRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceEventsRole.html)。
## AmazonECSTaskExecutionRolePolicy
`AmazonECSTaskExecutionRolePolicy` 受管 IAM 政策會授予 Amazon ECS 容器代理程式和 AWS Fargate 容器代理程式代表您進行 AWS API 呼叫所需的許可。此政策可新增至您的任務執行 IAM 角色。如需詳細資訊,請參閱[Amazon ECS 任務執行 IAM 角色](task_execution_IAM_role.md)。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonECSTaskExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSTaskExecutionRolePolicy.html)。
## AmazonECSServiceRolePolicy
`AmazonECSServiceRolePolicy` 受管 IAM 政策可讓 Amazon Elastic Container Service 管理您的叢集。此政策可新增至 [AWSServiceRoleForECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using-service-linked-roles-for-clusters.html#service-linked-role-permissions-clusters) 服務連結角色。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSServiceRolePolicy.html)。
## `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`
您可將 `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` 政策附加至 IAM 實體。此政策會授予管理存取權 AWS 私有憑證授權單位、Secrets Manager 和其他必要 AWS 服務,以代表您管理 Amazon ECS Service Connect TLS 功能。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html)。
## `AWSApplicationAutoscalingECSServicePolicy`
您無法將 `AWSApplicationAutoscalingECSServicePolicy` 連接至您的 IAM 實體。此政策會連接到服務連結角色,允許 Application Auto Scaling 代表您執行動作。如需詳細資訊,請參閱 [Application Auto Scaling 的服務連結角色](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html)。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AWSApplicationAutoscalingECSServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingECSServicePolicy.html)。
## `AWSCodeDeployRoleForECS`
您無法將 `AWSCodeDeployRoleForECS` 連接至您的 IAM 實體。此政策會連接到服務連結角色,可讓 CodeDeploy 代表您執行動作。如需詳細資訊,請參閱 *《AWS CodeDeploy 使用者指南》*中的[建立 CodeDeploy 的服務角色](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html)。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AWSCodeDeployRoleForECS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECS.html)。
## `AWSCodeDeployRoleForECSLimited`
您無法將 `AWSCodeDeployRoleForECSLimited` 連接至您的 IAM 實體。此政策會連接到服務連結角色,可讓 CodeDeploy 代表您執行動作。如需詳細資訊,請參閱 *《AWS CodeDeploy 使用者指南》*中的[建立 CodeDeploy 的服務角色](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html)。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AWSCodeDeployRoleForECSLimited](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECSLimited.html)。
## `AmazonECSInfrastructureRolePolicyForLoadBalancers`
您可將 `AmazonECSInfrastructureRolePolicyForLoadBalancers` 政策附加至 IAM 實體。此政策授予許可,允許 Amazon ECS 代表您管理 Elastic Load Balancing 資源。政策包括:
+ 描述接聽程式、規則、目標群組與目標運作狀態的唯讀許可
+ 向目標群組註冊與取消註冊目標的許可
+ 修改 Application Load Balancer 與 Network Load Balancer 接聽程式的許可
+ 修改 Application Load Balancer 規則的許可
這些許可使 Amazon ECS 能夠在建立或更新服務時自動管理負載平衡器組態,確保將流量正確路由至容器。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForLoadBalancers.html)。
## `AmazonECSInfrastructureRolePolicyForManagedInstances`
您可將 `AmazonECSInfrastructureRolePolicyForManagedInstances` 政策附加至 IAM 實體。此政策授予 Amazon ECS 所需的許可,代表您為 ECS 受管執行個體建立並更新 Amazon EC2 資源。政策包括:
+ 為受管執行個體建立並管理 Amazon EC2 啟動範本的許可
+ 使用 CreateFleet 與 RunInstances 佈建 Amazon EC2 執行個體的許可
+ 在 ECS 建立的 Amazon EC2 資源上建立並管理標籤的許可
+ 將 IAM 角色傳遞至受管執行個體之 Amazon EC2 執行個體的許可
+ 為 Amazon EC2 Spot 執行個體建立服務連結角色的許可
+ 描述 Amazon EC2 資源的唯讀許可,包括執行個體、執行個體類型、啟動範本、網路介面、可用區域、安全群組、子網路、VPCs、EC2 映像和容量保留
+ 列出 Amazon ResourceGroups 資源的唯讀許可,這需要基礎許可才能取得標記的資源並列出 Amazon CloudFormation 堆疊資源
這些許使 Amazon ECS 能夠為 ECS 受管執行個體自動佈建並管理 Amazon EC2 執行個體,確保底層運算資源的適當設定與生命週期管理。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonECSInfrastructureRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html)。
## `AmazonECSInfrastructureRolePolicyForVpcLattice`
您可將 `AmazonECSInfrastructureRolePolicyForVpcLattice` 政策附加至 IAM 實體。此政策提供代表您管理 Amazon ECS 工作負載中 VPC Lattice 功能所需的其他 AWS 服務資源的存取權。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html)。
代表您存取 Amazon ECS 工作負載中管理 VPC Lattice 功能所需的其他 AWS 服務資源。
## `AmazonECSInfrastructureRoleforExpressGatewayServices`
您可將 `AmazonECSInfrastructureRoleforExpressGatewayServices` 政策附加至 IAM 實體。此政策授予 Amazon ECS 所需的許可,以代表您使用 Express Services 建立和更新 Web 應用程式。政策包括:
+ 為 Amazon ECS Application Auto Scaling 建立服務連結角色的許可
+ 建立、修改和刪除 Application Load Balancer、接聽程式、規則和目標群組的許可
+ 建立、修改和刪除 ECS 受管資源 VPC 安全群組的許可
+ 透過 ACM 請求、管理和刪除 SSL/TLS 憑證的許可
+ 設定 Amazon ECS 服務 Application Auto Scaling 政策和目標的許可
+ 建立和管理自動擴展觸發的 CloudWatch 警示的許可
+ 描述負載平衡器、VPC 資源、憑證、自動擴展組態和 CloudWatch 警示的唯讀許可
這些許可可讓 Amazon ECS 自動佈建和管理 Express Services Web 應用程式所需的基礎設施元件,包括負載平衡、安全群組、SSL 憑證和自動擴展組態。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AmazonECSInfrastructureRoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html)。
## `AmazonECSComputeServiceRolePolicy`
`AmazonECSComputeServiceRolePolicy` 政策會連接至 AmazonECSComputeServiceRole 服務連結角色。如需詳細資訊,請參閱[使用角色管理 Amazon ECS 受管執行個體](using-service-linked-roles-instances.md)。
此政策包含下列許可,這些許可能讓 Amazon ECS 完成下列任務:
+ Amazon ECS 可以描述與刪除啟動範本。
+ Amazon ECS 可以描述與刪除啟動範本版本。
+ Amazon ECS 可以終止執行個體。
+ Amazon ECS 可以描述下列執行個體資料參數:
+ 執行個體
+ 執行個體網路介面:Amazon ECS 可以描述網路介面資訊來管理 EC2 執行個體生命週期。
+ 執行個體事件視窗:Amazon ECS 可以描述事件視窗資訊來判斷可否中斷工作流程來修補執行個體。
+ 執行個體狀態:Amazon ECS 可以描述執行個體狀態來監控執行個體運作狀態。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonECSComputeServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSComputeServiceRolePolicy.html)。
## `AmazonECSInstanceRolePolicyForManagedInstances`
此 `AmazonECSInstanceRolePolicyForManagedInstances` 政策提供許可,讓 Amazon ECS 受管執行個體向 Amazon ECS 叢集註冊,並與 Amazon ECS 服務通訊。
此政策包含下列許可,這些許可能讓 Amazon ECS 受管執行個體完成下列任務:
+ 向 Amazon ECS 叢集註冊及取消註冊。
+ 提交容器執行個體狀態變更。
+ 提交任務狀態變更。
+ 探索 Amazon ECS 代理程式的輪詢端點。
若要檢視此政策的許可,請參閱 *AWS Managed Policy Reference* 中的 [AmazonECSInstanceRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInstanceRolePolicyForManagedInstances.html)。
## AWS 受管政策的 Amazon ECS 更新
檢視自此服務開始追蹤 Amazon ECS AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Amazon ECS 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 更新`AmazonECSInfrastructureRolePolicyForManagedInstances`政策 | 此`AmazonECSInfrastructureRolePolicyForManagedInstances`政策已更新為下列許可,以支援 Amazon ECS 受管執行個體上的容量保留:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonECS/latest/developerguide/security-iam-awsmanpol.html) | 2026 年 2 月 24 日 |
| 向 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) 新增許可。 | AmazonECSServiceRolePolicy 受管 IAM 政策已更新,包含 ssmmessages:OpenDataChannel 許可。此許可允許 Amazon ECS 開啟 ECS Exec 工作階段的資料通道。 | 2026 年 1 月 20 日 |
| 更新`AmazonECSInfrastructureRolePolicyForManagedInstances`政策 | `AmazonECSInfrastructureRolePolicyForManagedInstances` 政策已更新,以修改`CreateFleet`許可。子網路、安全群組和 EC2 映像的資源型條件已移除,因為:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonECS/latest/developerguide/security-iam-awsmanpol.html) 此變更可確保政策與缺少預期 ECS 管理標籤的資源正確運作。 | 2025 年 12 月 15 日 |
| 向 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) 新增許可。 | AmazonECSServiceRolePolicy 受管 IAM 政策已更新為新的 Amazon EC2 許可,允許 Amazon ECS 為與事件 Windows 相關聯的服務和叢集擷取 Amazon EC2 事件 Windows。 | 2025 年 11 月 20 日 |
| 向 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) 新增許可。 | AmazonECSServiceRolePolicy 受管 IAM 政策已更新為新的 Amazon EC2 許可,允許 Amazon ECS 佈建和取消佈建任務 ENI。 | 2025 年 11 月 14 日 |
| 更新 [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity) 政策 | 已更新 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity 受管 IAM 政策,將 secretsmanager:DescribeSecret 許可分隔為其自己的政策陳述式。許可會繼續僅針對 Amazon ECS 建立的秘密範圍限定 Amazon ECS 存取範圍,並使用 ARN 模式比對,而不是用於範圍界定的資源標籤。這可讓 Amazon ECS 在整個生命週期中監控秘密狀態,包括刪除秘密的時間。 | 2025 年 11 月 13 日 |
| 新增 [`AmazonECSInfrastructureRoleforExpressGatewayServices`](#security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices) | 新增了新的 AmazonECSInfrastructureRoleforExpressGatewayServices 政策,提供 Amazon ECS 使用 Express Services 建立和管理 Web 應用程式的權限。 | 2025 年 11 月 21 日 |
| 新增 [`AmazonECSInstanceRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances) | 新增了 AmazonECSInstanceRolePolicyForManagedInstances 政策,該政策授予 Amazon ECS 受管執行個體向 Amazon ECS 叢集進行註冊所需的許可。 | 2025 年 9 月 30 日 |
| 新增 [`AmazonECSInfrastructureRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances) | 新增了 AmazonECSInfrastructureRolePolicyForManagedInstances 政策,該政策授予 Amazon ECS 建立與管理 Amazon EC2 受管資源的存取權。 | 2025 年 9 月 30 日 |
| 新增 [AmazonECSComputeServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy) | 允許 Amazon ECS 管理 Amazon ECS 受管執行個體與相關資源。 | 2025 年 8 月 31 日 |
| 新增許可至 [AmazonEC2ContainerServiceforEC2Role](#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role) | AmazonEC2ContainerServiceforEC2Role 受管 IAM 政策已更新,包含 ecs:ListTagsForResource 許可。此許可允許 Amazon ECS 代理程式透過任務中繼資料端點 (\$1\$1ECS\$1CONTAINER\$1METADATA\$1URI\$1V4\$1/taskWithTags) 擷取任務與容器執行個體標籤。 | 2025 年 8 月 4 日 |
| 向 [AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers) 新增許可。 | AmazonECSInfrastructureRolePolicyForLoadBalancers 受管 IAM 政策已更新,新增了描述、取消註冊與註冊目標群組的許可。 | 2025 年 7 月 25 日 |
| 新增 [`AmazonECSInfrastructureRolePolicyForLoadBalancers`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers) 政策 | 新增了新的 AmazonECSInfrastructureRolePolicyForLoadBalancers 政策,可讓您存取管理與 Amazon ECS 工作負載相關聯之負載平衡器所需的其他 AWS 服務資源。 | 2025 年 7 月 15 日 |
| 向 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) 新增許可。 | AmazonECSServiceRolePolicy 受管 IAM 政策已更新,新增了 AWS Cloud Map 許可,使 Amazon ECS 能夠更新自身所管理服務的 AWS Cloud Map 服務屬性。 | 2025 年 7 月 15 日 |
| 新增許可至 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) | AmazonECSServiceRolePolicy 受管 IAM 政策已更新,新增了 AWS Cloud Map 許可,使 Amazon ECS 能夠更新自身所管理服務的 AWS Cloud Map 服務屬性。 | 2025 年 6 月 24 日 |
| 向 [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes) 新增許可 | AmazonECSInfrastructureRolePolicyForVolumes 政策已更新,新增了 ec2:DescribeInstances 許可。此許可有助於防止連接至於相同容器執行個體上執行之 Amazon ECS 任務的 Amazon EBS 磁碟區發生裝置名稱衝突。 | 2025 年 6 月 2 日 |
| 新增 [AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice) | 代表您存取 Amazon ECS 工作負載中管理 VPC Lattice 功能所需的其他 AWS 服務資源。 | 2024 年 11 月 18 日 |
| 向 [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes) 新增許可 | AmazonECSInfrastructureRolePolicyForVolumes 政策已更新,允許客戶透過快照建立 Amazon EBS 磁碟區。 | 2024 年 10 月 10 日 |
| 新增了許可至 [AmazonECS\$1FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess) | AmazonECS\$1FullAccess 政策已更新,向名為 ecsInfrastructureRole 的角色新增 IAM 角色的 iam:PassRole 許可。這是 建立的預設 IAM 角色 AWS 管理主控台 ,旨在用作 ECS 基礎設施角色,允許 Amazon ECS 管理連接到 ECS 任務的 Amazon EBS 磁碟區。 | 2024 年 8 月 13 日 |
| 新增 [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity) 政策 | 新增了新的 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity 政策 AWS KMS,該政策提供對 Secrets Manager 的管理存取權 AWS 私有憑證授權單位,並可讓 Amazon ECS Service Connect TLS 功能正常運作。 | 2024 年 1 月 22 日 |
| 新增政策 [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes) | 新增了 AmazonECSInfrastructureRolePolicyForVolumes 政策。此政策會授予 Amazon ECS 進行 AWS API 呼叫所需的許可,以管理與 Amazon ECS 工作負載相關聯的 Amazon EBS 磁碟區。 | 2024 年 1 月 11 日 |
| 新增許可至 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) | AmazonECSServiceRolePolicy 受管 IAM 政策已更新,新增了 events 許可以及額外的 autoscaling 與 autoscaling-plans 許可。 | 2023 年 12 月 4 日 |
| 向 [AmazonEC2ContainerServiceEventsRole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole) 新增許可 | 受AmazonECSServiceRolePolicy管 IAM 政策已更新,以允許存取 DiscoverInstancesRevision API AWS Cloud Map 操作。 | 2023 年 10 月 4 日 |
| 新增許可至 [AmazonEC2ContainerServiceforEC2Role](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role) | AmazonEC2ContainerServiceforEC2Role 政策已修改為新增 ecs:TagResource 許可,其中包括一個條件,該條件將許可僅限於新建立的叢集和已註冊的容器執行個體。 | 2023 年 3 月 6 日 |
| 新增許可至 [AmazonECS\$1FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess) | AmazonECS\$1FullAccess 政策已修改為新增 elasticloadbalancing:AddTags 許可,其中包括一個條件,該條件將許可僅限於新建立的負載平衡器、目標群組、規則和已建立的接聽程式。此許可不允許將標籤新增至任何已建立的 Elastic Load Balancing 資源。 | 2023 年 1 月 4 日 |
| Amazon ECS 開始追蹤變更 | Amazon ECS 開始追蹤其 AWS 受管政策的變更。 | 2021 年 6 月 8 日 |