Amazon EC2 Container Service
开发人员指南 (API Version 2014-11-13)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

Amazon ECS API 操作支持的资源级权限

资源级权限 指的是能够指定允许用户对哪些资源执行操作的能力。Amazon ECS 部分支持资源级权限。这意味着对于某些 Amazon ECS 操作,您可以控制何时允许用户执行操作(基于必须满足的条件)或是允许用户使用的特定资源。例如,您可以向用户授予启动实例的权限,但是仅限特定类型的实例,并且只能使用特定的 AMI。

下表介绍当前支持资源级权限的 Amazon ECS API 操作,以及每个操作支持的资源、资源 ARN 和条件密钥。

重要

如果某一 Amazon ECS API 操作在此表中没有列出,则它不支持资源级权限。如果 Amazon ECS API 操作不支持资源级权限,那么,您可以向用户授予使用该操作的权限,但是必须为策略语句的资源元素指定 *。

API 操作 资源 条件密钥
DeleteAttributes

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster

DeleteCluster

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用

DeregisterContainerInstance

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用

DescribeClusters

集群

arn:aws:ecs:region:account:cluster/my-cluster1、arn:aws:ecs:region:account:cluster/my-cluster2

不适用

DescribeContainerInstances

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id1、arn:aws:ecs:region:account:container-instance/container-instance-id2

ecs:cluster

DescribeTasks

任务

arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a、arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252b

ecs:cluster

ListAttributes

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用

ListContainerInstances

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用

ListTasks

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster

轮询

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster

PutAttributes

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster

RegisterContainerInstance

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用

RunTask

任务定义

arn:aws:ecs:region:account:task-definition/hello_world:8

ecs:cluster

StartTask

任务定义

arn:aws:ecs:region:account:task-definition/hello_world:8

ecs:cluster

ecs:container-instances

StartTelemetrySession

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster

StopTask

任务

arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a

ecs:cluster

SubmitContainerStateChange

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用

SubmitTaskStateChange

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用

UpdateContainerAgent

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster

UpdateContainerInstancesState

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster