迁移到 AmazonECS_FullAccess 托管策略 - Amazon Elastic Container Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

迁移到 AmazonECS_FullAccess 托管策略

AmazonEC2ContainerServiceFullAccess 托管IAM策略将于 2021 年 1 月 29 日被弃用,以响应具有 iam:passRole 权限的安全结果,该权限用于向 账户中的 角色授予对所有 资源(包括凭证)的访问权限。弃用策略后,您将无法将该策略附加到任何新的IAM组、用户或角色。附加了 策略的任何现有组、用户或角色都可以继续使用它,但我们建议您更新IAM组、用户或角色以使用 AmazonECS_FullAccess 托管策略。

AmazonECS_FullAccess 策略授予的权限的细节比AmazonEC2ContainerServiceFullAccess策略更精细。如果您当前使用的是AmazonEC2ContainerServiceFullAccess策略中不存在的策略授予的权限AmazonECS_FullAccess,则可以通过添加内联策略语句来向 IAM 组、用户或角色添加其他权限。有关其中每个策略的更多信息,请参阅Amazon ECS 托管策略和信任关系

使用以下步骤可确定您当前是否有任何IAM组、用户或角色使用 AmazonEC2ContainerServiceFullAccess 托管IAM策略,然后更新它们以分离已弃用的策略并附加AmazonECS_FullAccess该策略。

更新 IAM 组、用户或角色以使用 AmazonECS_FullAccess 策略 (AWS 管理控制台)

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies (策略),搜索并选择AmazonEC2ContainerServiceFullAccess策略。

  3. 选择 Policy usage (策略使用) 选项卡,该选项卡将显示当前使用此策略的任何IAM角色。

  4. 对于当前使用 IAM 策略的每个AmazonEC2ContainerServiceFullAccess角色,选择该角色,然后使用以下步骤分离已弃用的策略并附加该AmazonECS_FullAccess策略。

    1. Permissions (权限) 选项卡上,选择策略旁边的 AmazonEC2ContainerServiceFullAccess X。

    2. 选择 Add permissions (添加权限).

    3. 选择 Attach existing policies directly (直接附加现有策略),搜索并选择 AmazonECS_FullAccess 策略,然后选择 Next: Review 下一步: 审核)。

    4. 检查更改,然后选择 Add permissions (添加权限)。

    5. 对使用该IAM策略的每个AmazonEC2ContainerServiceFullAccess组、用户或角色重复这些步骤。

更新 IAM 组、用户或角色以使用 AmazonECS_FullAccess 策略 (AWS CLI)

  1. 使用 generate-service-last-accessed-details 命令生成一个报告,其中包含有关上次使用已弃用策略的时间的详细信息。

    aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    输出示例:

    { "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE" }
  2. 将上一个输出中的作业 ID 与 get-service-last-accessed-details 命令结合使用以检索上次访问的服务报告。此报告将显示上次使用已弃用策略IAM的实体的 Amazon 资源名称 (ARN)。

    aws iam get-service-last-accessed-details \ --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
  3. 使用以下命令之一将AmazonEC2ContainerServiceFullAccess策略与 IAM 组、用户或角色分离。

  4. 使用以下命令之一将AmazonECS_FullAccess策略附加到 IAM 组、用户或角色。