本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Elastic Container Service 身分型政策範例
根據預設,使用者和角色沒有建立或修改 Amazon ECS 資源的許可。他們也無法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 來執行任務 AWS API。若要授予使用者對所需資源執行動作的許可,IAM管理員可以建立 IAM 政策。然後,管理員可以將IAM政策新增至角色,使用者可以擔任角色。
若要了解如何使用這些範例政策文件來建立以IAM身分為基礎的JSON政策,請參閱 IAM 使用者指南中的建立IAM政策 (主控台)。
如需 Amazon 定義的動作和資源類型的詳細資訊ECS,包括ARNs每種資源類型的 格式,請參閱服務授權參考中的 Amazon Elastic Container Service 的動作、資源和條件索引鍵。
主題
Amazon ECS政策最佳實務
以身分為基礎的政策會判斷是否有人可以在您的帳戶中建立、存取或刪除 Amazon ECS 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
-
開始使用 AWS 受管政策並邁向最低權限許可 – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 AWS 受管政策。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需詳細資訊,請參閱IAM《 使用者指南》中的 AWS 受管政策或 AWS 任務函數的受管政策。
-
套用最低權限許可 – 當您使用 IAM 政策設定許可時, 只會授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。如需使用 IAM 套用許可的詳細資訊,請參閱IAM《 使用者指南》中的政策和許可IAM。
-
使用IAM政策中的條件來進一步限制存取:您可以將條件新增至政策,以限制對動作和資源的存取。例如,您可以撰寫政策條件來指定所有請求都必須使用 傳送SSL。如果透過特定 使用服務動作,您也可以使用條件來授予存取服務動作的權限 AWS 服務,例如 AWS CloudFormation。如需詳細資訊,請參閱 IAM 使用者指南中的IAMJSON政策元素:條件。
-
使用 IAM Access Analyzer 驗證您的IAM政策,以確保安全且功能正常的許可 – IAM Access Analyzer 會驗證新的和現有的政策,使政策符合IAM政策語言 (JSON) 和IAM最佳實務。 IAMAccess Analyzer 提供超過 100 個政策檢查和可行的建議,以協助您撰寫安全且實用的政策。如需詳細資訊,請參閱IAM《 使用者指南》中的使用 IAM Access Analyzer 驗證政策。
-
需要多重要素驗證 (MFA) – 如果您有需要 IAM使用者或 根使用者的案例 AWS 帳戶,請開啟 MFA 以獲得額外的安全性。若要在呼叫API操作MFA時要求 ,請將MFA條件新增至您的政策。如需詳細資訊,請參閱IAM《 使用者指南》中的使用 安全API存取MFA。
如需 中最佳實務的詳細資訊IAM,請參閱IAM《 使用者指南》中的安全最佳實務IAM。
允許 Amazon ECS使用者檢視自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視連接到他們使用者身分的內嵌及受管政策。此政策包含在主控台上完成此動作的許可,或使用 AWS CLI 或 以程式設計方式完成此動作的許可 AWS API。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Amazon ECS叢集範例
以下 IAM 政策允許建立和列出叢集的許可。CreateCluster 和 ListClusters 動作不接受任何資源,因此資源定義已針對所有資源設為 *。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:ListClusters" ], "Resource": ["*"] } ] }
以下 IAM 政策允許說明和刪除指定叢集的許可。DescribeClusters 和 DeleteCluster動作接受叢集ARNs做為資源。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeClusters", "ecs:DeleteCluster" ], "Resource": ["arn:aws:ecs:us-east-1:<aws_account_id>:cluster/<cluster_name>"] } ] }
以下 IAM 政策可連接到使用者或群組,只允許該使用者或群組在特定叢集上執行操作。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:Describe*", "ecs:List*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ecs:DeleteCluster", "ecs:DeregisterContainerInstance", "ecs:ListContainerInstances", "ecs:RegisterContainerInstance", "ecs:SubmitContainerStateChange", "ecs:SubmitTaskStateChange" ], "Effect": "Allow", "Resource": "arn:aws:ecs:us-east-1:<aws_account_id>:cluster/default" }, { "Action": [ "ecs:DescribeContainerInstances", "ecs:DescribeTasks", "ecs:ListTasks", "ecs:UpdateContainerAgent", "ecs:StartTask", "ecs:StopTask", "ecs:RunTask" ], "Effect": "Allow", "Resource": "*", "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:us-east-1:<aws_account_id>:cluster/default"} } } ] }
Amazon ECS容器執行個體範例
容器執行個體註冊是由 Amazon ECS代理程式處理,但有時您可能想要允許使用者從叢集手動取消註冊執行個體。也許容器執行個體意外註冊到錯誤的叢集,或執行個體上尚有任務執行中時遭到終止。
以下 IAM 政策可讓使用者列出和取消註冊指定叢集中的容器執行個體。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterContainerInstance", "ecs:ListContainerInstances" ], "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"] } ] }
以下 IAM 政策可讓使用者說明指定叢集中的指定容器執行個體。若要開啟此許可,最多至叢集中的所有容器執行個體,您可以將容器執行個體取代UUID為 *。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:DescribeContainerInstances"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:container-instance/<cluster_name>/<container_instance_UUID>"] } ] }
Amazon ECS任務定義範例
任務定義 IAM 政策不支援資源層級許可,但以下 IAM 政策允許使用者註冊、列出和描述任務定義:
如果您使用主控台,則必須新增 CloudFormation: CreateStack 作為 Action。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RegisterTaskDefinition", "ecs:ListTaskDefinitions", "ecs:DescribeTaskDefinition" ], "Resource": ["*"] } ] }
執行 Amazon ECS任務範例
RunTask 的資源為任務定義。若要限制使用者可執行任務定義的叢集,您可以在 Condition 區塊中加以指定。優點是您不需要在您的資源中列出任務定義和叢集,也能允許適當的存取。您可以套用其中一項,或同時套用兩者。
以下 IAM 政策允許在特定叢集上執行任何特定任務定義之修訂的許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:RunTask"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:task-definition/<task_family>:*"] } ] }
啟動 Amazon ECS任務範例
StartTask 的資源為任務定義。若要限制使用者可啟動任務定義的叢集和容器執行個體,您可以在 Condition 區塊中加以指定。優點是您不需要在您的資源中列出任務定義和叢集,也能允許適當的存取。您可以套用其中一項,或同時套用兩者。
以下 IAM 政策允許在特定叢集與特定容器執行個體上,啟動任何特定任務定義修訂的許可。
注意
在此範例中,當您StartTaskAPI使用 AWS CLI 或其他 呼叫 時 AWS SDK,您必須指定任務定義修訂,以便Resource映射相符。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:StartTask"], "Condition": { "ArnEquals": { "ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>", "ecs:container-instances": ["arn:aws:ecs:<region>:<aws_account_id>:container-instance/<cluster_name>/<container_instance_UUID>"] } }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:task-definition/<task_family>:*"] } ] }
列出並描述 Amazon ECS任務範例
以下 IAM 政策允許使用者列出指定叢集的任務:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:ListTasks"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["*"] } ] }
以下 IAM 政策可讓使用者說明指定叢集中的指定任務:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ecs:DescribeTasks"], "Condition": { "ArnEquals": {"ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>"} }, "Resource": ["arn:aws:ecs:<region>:<aws_account_id>:task/<cluster_name>/<task_UUID>"] } ] }
建立 Amazon ECS服務範例
下列IAM政策允許使用者在 中建立 Amazon ECS服務 AWS Management Console:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:Describe*", "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "ecs:List*", "ecs:Describe*", "ecs:CreateService", "elasticloadbalancing:Describe*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRoles", "iam:ListGroups", "iam:ListUsers" ], "Resource": ["*"] } ] }
更新 Amazon ECS服務範例
下列IAM政策允許使用者在 中更新 Amazon ECS服務 AWS Management Console:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:Describe*", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:RegisterScalableTarget", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "ecs:List*", "ecs:Describe*", "ecs:UpdateService", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRoles", "iam:ListGroups", "iam:ListUsers" ], "Resource": ["*"] } ] }
根據標籤描述 Amazon ECS服務
您可以在身分型政策中使用條件,根據標籤控制對 Amazon ECS 資源的存取。此範例會示範如何建立會允許描述您的服務的政策。但是,只有在服務標籤 Owner 的值是該使用者的使用者名稱時,才會授予該許可。此政策也會授予在主控台完成此動作的必要許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeServices", "Effect": "Allow", "Action": "ecs:DescribeServices", "Resource": "*" }, { "Sid": "ViewServiceIfOwner", "Effect": "Allow", "Action": "ecs:DescribeServices", "Resource": "arn:aws:ecs:*:*:service/*", "Condition": { "StringEquals": {"ecs:ResourceTag/Owner": "${aws:username}"} } } ] }
您可以將此政策連接到您帳戶中的 IAM 使用者。如果名為 的使用者richard-roe嘗試描述 Amazon ECS服務,則該服務必須加上標籤Owner=richard-roe或 owner=richard-roe。否則他便會被拒絕存取。條件標籤鍵 Owner 符合 Owner 和 owner,因為條件索引鍵名稱不區分大小寫。如需詳細資訊,請參閱IAM《 使用者指南》中的IAMJSON政策元素:條件。
拒絕 Amazon ECS Service Connect 命名空間覆寫範例
下列IAM政策會拒絕使用者覆寫服務組態中的預設 Service Connect 命名空間。預設命名空間在叢集中設定。不過,您可以在服務組態中覆寫命名空間。為了保持一致性,請考慮將所有新服務設定為使用相同的命名空間。使用下列內容索引鍵可要求服務使用特定的命名空間。在以下範例中,將 <region>、<aws_account_id>、<cluster_name> 和 <namespace_id> 取代為自訂文字。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:CreateService", "ecs:UpdateService" ], "Condition": { "ArnEquals": { "ecs:cluster": "arn:aws:ecs:<region>:<aws_account_id>:cluster/<cluster_name>", "ecs:namespace": "arn:aws:servicediscovery:<region>:<aws_account_id>:namespace/<namespace_id>" } }, "Resource": "*" } ] }
