迁移到 AmazonECS_FullAccess 托管策略 - Amazon Elastic Container Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

迁移到 AmazonECS_FullAccess 托管策略

AmazonEC2ContainerServiceFullAccess 托管 IAM policy 已于 2021 年 1 月 29 日逐步停用,以响应 iam:passRole 权限内的安全问题。此权限授予对所有资源的访问权限,包括账户中角色的凭证。现在该策略已逐步停用,您无法将该策略附加到任何新的 IAM 组、用户或角色。任何已附加策略的组、用户或角色都可以继续使用它。但是,我们建议您更新 IAM 组或角色,而不是使用 AmazonECS_FullAccess 托管策略。

授予的权限由 AmazonECS_FullAccess 策略包括将 ECS 用作管理员所需的完整权限列表。如果您当前使用的由 AmazonEC2ContainerServiceFullAccess 策略授予的权限中不在 AmazonECS_FullAccess 策略中,您可以将它们添加到内联策略语句中。有关更多信息,请参阅 Amazon Elastic Container Service Amazon 托管策略

使用以下步骤确定您是否有任何 IAM 组、用户或角色当前正在使用 AmazonEC2ContainerServiceFullAccess托管 IAM policy。然后,更新它们以分离早期的策略并附加 AmazonECS_FullAccess 政策。

要更新 IAM 组、用户或角色以使用 AmazonECS_FullAccess 策略 (Amazon Web Services Management Console)

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略并搜索并选择 AmazonEC2ContainerServiceFullAccess 政策。

  3. 选择策略用法选项卡,显示当前正在使用此策略的任何 IAM 角色。

  4. 对于当前使用 AmazonEC2ContainerServiceFullAccess 策略的 IAM policy,请选择角色,然后使用以下步骤分离弃用的策略并附加 AmazonECS_FullAccess 政策。

    1. Permissions (权限)选项卡上,选择 AmazonEC2ContainerServiceFullAccess 策略旁边的 X

    2. 选择 Add permissions(添加权限)。

    3. 选择直接附加现有策略中,搜索并选择 AmazonECS_FullAccess 策略,然后选择下一步:审核

    4. 查看更改,然后选择添加权限

    5. 对使用 AmazonEC2ContainerServiceFullAccess 策略的每个 IAM 组、用户或角色重复这些步骤。

要更新 IAM 组、用户或角色以使用 AmazonECS_FullAccess 策略 (Amazon CLI)

  1. 使用 generate-service-last-accessed-details 命令生成包含有关上次使用过时策略的详细信息的报告。

    aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    输出示例:

    { "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE" }
  2. 将先前输出中的任务 ID 与 get-service-last-accessed-details 命令检索服务的上次访问报告。此报告显示上次使用过时策略的 IAM 实体的 Amazon Resource Name (ARN)。

    aws iam get-service-last-accessed-details \ --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
  3. 使用以下命令之一分离 AmazonEC2ContainerServiceFullAccess 策略来自 IAM 组、用户或角色。

  4. 使用以下命令之一将 AmazonECS_FullAccess 策略添加到 IAM 组、用户或角色。