Amazon Elastic Container Service
开发人员指南 (API 版本 2014-11-13)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon ECS IAM 策略、角色和权限

默认情况下,IAM 用户没有创建或修改 Amazon ECS 资源或使用 Amazon ECS API 执行任务的权限。这意味着,这些用户也无法使用 Amazon ECS 控制台或 AWS CLI 执行这些操作。要允许 IAM 用户创建或修改资源并执行任务,您必须创建 IAM 策略。策略授予 IAM 用户使用特定资源和 API 操作的权限。然后,将这些策略附加到需要这些权限的 IAM 用户或组。

在将策略附加到一个用户或一组用户时,它会授权或拒绝用户使用指定资源执行指定任务。有关 IAM 策略的更多一般信息,请参阅 IAM 用户指南 中的权限与策略。有关管理和创建自定义 IAM 策略的更多信息,请参阅管理 IAM 策略

同样,Amazon ECS 容器实例会代表您调用 Amazon ECS 和 Amazon EC2 API,因此,它们需要验证您的凭证。在启动容器实例时,通过为容器实例创建 IAM 角色并将该角色与它们关联来执行此身份验证。有关更多信息,请参阅Amazon ECS 容器实例 IAM 角色。如果将 Elastic Load Balancing 负载均衡器用于 Amazon ECS 服务,该服务将代表您调用 Amazon EC2 和 Elastic Load Balancing API,以在负载均衡器中注册和取消注册容器实例。有关更多信息,请参阅Amazon ECS 服务计划程序 IAM 角色。有关 IAM 角色的更多一般信息,请参阅 IAM 用户指南 中的 IAM 角色

入门

IAM 策略必须授予或拒绝使用一个或多个 Amazon ECS 操作的权限。它还必须指定可以用于操作的资源(可以是所有资源,在某些情况下可以是特定资源)。策略还可以包含应用于资源的条件。

Amazon ECS 部分支持资源级权限。这意味着,对于某些 Amazon ECS API 操作,您无法指定用户可对该操作使用哪种资源;相反,您必须允许用户对该操作使用所有资源。