迁移到 AmazonECS_FullAccess 托管策略 - Amazon Elastic Container Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

迁移到 AmazonECS_FullAccess 托管策略

AmazonEC2ContainerServiceFullAccess 托管 IAM policy 已于 2021 年 1 月 29 日逐步停用,以响应 iam:passRole 权限内的安全问题。此权限授予对所有资源的访问权限,包括账户中角色的凭证。现在该策略已逐步停用,您无法将该策略附加到任何新的组、用户或角色。任何已附加策略的组、用户或角色都可以继续使用它。但是,我们建议您更新组、用户或角色,以使用 AmazonECS_FullAccess 托管策略。

授予的权限由 AmazonECS_FullAccess 策略包括将 ECS 用作管理员所需的完整权限列表。如果您当前使用的权限是由AmazonEC2ContainerServiceFullAccess策略授予的,但不在AmazonECS_FullAccess策略中,则可以将其添加到内联策略声明中。有关更多信息,请参阅 Amazon Amazon 弹性容器服务的托管策略

使用以下步骤确定您是否有任何组、用户或角色当前正在使用 AmazonEC2ContainerServiceFullAccess 托管 IAM policy。然后,更新它们以分离早期的策略并附加 AmazonECS_FullAccess 政策。

更新群组、用户或角色以使用 Amazonecs_ FullAccess 政策 ()Amazon Web Services Management Console

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择策略并搜索并选择 AmazonEC2ContainerServiceFullAccess 政策。

  3. 选择策略用法选项卡,显示当前正在使用此策略的任何 IAM 角色。

  4. 对于当前正在使用该AmazonEC2ContainerServiceFullAccess策略的每个 IAM 角色,选择该角色并按照以下步骤分离逐步淘汰的策略并附加该AmazonECS_FullAccess策略。

    1. 在 “权限” 选项卡上,选择 AmazonEC2 ContainerServiceFullAccess 策略旁边的 X

    2. 选择添加权限

    3. 选择 “直接附加现有政策”,搜索并选择 Amazonecs_ FullAccess 政策,然后选择 “下一步:查看”。

    4. 查看更改,然后选择添加权限

    5. 对使用 AmazonEC2ContainerServiceFullAccess 策略的每个组、用户或角色重复这些步骤。

更新组、用户或角色以使用 AmazonECS_FullAccess 策略 (Amazon CLI)

  1. 使用generate-service-last-accessed-details命令生成一份报告,其中包含有关上次使用逐步淘汰策略的时间的详细信息。

    aws iam generate-service-last-accessed-details \
     --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    输出示例:

    {
    "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
}

  2. 使用先前输出中的作业 ID 和get-service-last-accessed-details命令来检索上次访问的服务报告。此报告显示上次使用逐步淘汰政策的 IAM 实体的亚马逊资源名称 (ARN)。

    aws iam get-service-last-accessed-details \
      --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE

  3. 使用以下命令之一将 AmazonEC2ContainerServiceFullAccess 策略与组、用户或角色分离。

  4. 使用以下命令之一将 AmazonECS_FullAccess 策略附加到组、用户或角色。