Amazon Elastic Container Service Amazon 托管策略
要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管式策略更简单。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon 账户中使用。有关 Amazon 托管式策略的更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
Amazon 服务负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess Amazon 托管式策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新特征时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管式策略。
Amazon ECS 和 Amazon ECR 提供了一些托管策略和信任关系,您可以将它们附加到用户、组、角色、Amazon EC2 实例和 Amazon ECS 任务,以实现对资源和 API 操作的不同级别的控制。您可以直接应用这些策略,或者也可以使用它们作为自行创建策略的起点。有关 Amazon ECR 托管策略的更多信息,请参阅 Amazon ECR 托管策略。
AmazonECS_FullAccess
您可以将 AmazonECS_FullAccess
策略附加到 IAM 身份。此策略授予对 Amazon ECS 资源的管理访问权限,并授予 IAM 身份(如用户、组或角色)访问 Amazon 服务,以使用 Amazon ECS 的所有功能。使用此策略可以访问 Amazon Web Services Management Console 中提供的所有 Amazon ECS 功能。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AmazonECS_FullAccess。
AmazonECSInfrastructureRolePolicyForVolumes
您可以将 AmazonECSInfrastructureRolePolicyForVolumes
托管式策略附加到您的 IAM 实体。
此策略授予 Amazon ECS 代表您进行 Amazon API 调用所需的权限。您可以将此策略附加到启动 Amazon ECS 任务和服务时随卷配置提供的 IAM 角色。该角色使 Amazon ECS 能够管理附加到任务的卷。有关更多信息,请参阅 Amazon ECS 基础设施 IAM 角色。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AmazonECSInfrastructureRolePolicyForVolumes。
AmazonEC2ContainerServiceforEC2Role
您可以将 AmazonEC2ContainerServiceforEC2Role
策略附加到 IAM 身份。此策略授予允许Amazon ECS容器实例代表您调用 Amazon 的管理权限。有关更多信息,请参阅 Amazon ECS 容器实例 IAM 角色。
Amazon ECS 将此策略附加到服务角色,该角色允许 Amazon ECS 代表您对 Amazon EC2 实例或外部实例执行操作。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AmazonEC2ContainerServiceforEC2Role。
注意事项
您应注意以下建议和注意事项,使用 AmazonEC2ContainerServiceforEC2Role
托管 IAM policy。
-
遵循授予最低权限的标准安全建议,您可以修改
AmazonEC2ContainerServiceforEC2Role
托管策略,以满足您的特定需求。如果您的用例不需要托管策略中授予的任何权限,请创建自定义策略并仅添加所需的权限。例如,为 Spot Instance 耗尽提供UpdateContainerInstancesState
权限。如果您的用例不需要该权限,请使用自定义策略将其排除。 -
在您的容器实例上运行的容器有权获得通过实例元数据提供给容器实例角色的所有权限。建议您将容器实例角色中的权限限制在托管
AmazonEC2ContainerServiceforEC2Role
策略中提供的最低权限列表的范围内。如果您的任务中的容器需要此处未列出的其他权限,建议您为这些任务提供其自己的 IAM 角色。有关更多信息,请参阅 Amazon ECS 任务 IAM 角色。您可以防止在
docker0
网桥访问提供给容器实例角色的权限。您可以在仍然允许通过在容器实例上运行以下命令 Amazon ECS 任务 IAM 角色 提供的权限的情况下执行 iptables 此操作。容器无法查询此规则生效的实例元数据。此命令采用原定设置 Docker 网桥配置,它不适用于使用host
网络模式的容器。有关更多信息,请参阅 网络模式。sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
您必须将此 iptables 规则保存到容器实例上,使其在重启后仍然可用。对于经 Amazon ECS 优化的 AMI,请使用以下命令。对于其他操作系统,请参阅该操作系统的相关文档。
-
对于经 Amazon ECS 优化的 Amazon Linux 2 AMI:
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
-
对于经 Amazon ECS 优化的 Amazon Linux AMI:
sudo service iptables save
-
AmazonEC2ContainerServiceEventsRole
您可以将 AmazonEC2ContainerServiceEventsRole
策略附加到 IAM 身份。此策略授予允许 Amazon EventBridge(以前的 CloudWatch Events)代表您运行任务的权限。此策略可附加到创建计划任务时指定的 IAM 角色。有关更多信息,请参阅 Amazon ECS EventBridge IAM 角色。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AmazonEC2ContainerServiceEventsRole。
AmazonECSTaskExecutionRolePolicy
AmazonECSTaskExecutionRolePolicy
托管 IAM policy 授予 Amazon ECS 容器代理和 Amazon Fargate 要创建的容器代理代表您调用 Amazon API。此策略可添加到您的任务执行 IAM 角色中。有关更多信息,请参阅 Amazon ECS 任务执行 IAM 角色。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AmazonECSTaskExecutionRolePolicy。
AmazonECSServiceRolePolicy
AmazonECSServiceRolePolicy
托管 IAM policy 使 Amazon Elastic Container Service 能够管理您的集群。此策略可添加到您的任务执行 IAM 角色中。有关更多信息,请参阅 Amazon ECS 任务执行 IAM 角色。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AmazonECSServiceRolePolicy。
AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
可以将 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
策略附加到您的 IAM 实体。此策略授予代表您管理 Amazon ECS Service Connect TLS 功能所需的对 Amazon Private Certificate Authority、Secrets Manager 和其他 Amazon 服务的管理权限。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity。
AWSApplicationAutoscalingECSServicePolicy
您不能将 AWSApplicationAutoscalingECSServicePolicy
附加到自己的 IAM 实体。此策略附加到服务链接角色,该角色允许 Application Auto Scaling 以代表您执行操作。有关更多信息,请参阅 Application Auto Scaling 服务相关角色。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AWSApplicationAutoscalingECSServicePolicy。
AWSCodeDeployRoleForECS
您不能将 AWSCodeDeployRoleForECS
附加到自己的 IAM 实体。此策略附加到服务链接角色,该角色允许 CodeDeploy 代表您执行操作。有关更多信息,请参阅 Amazon CodeDeploy 用户指南中的为 CodeDeploy 创建服务角色。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AWSCodeDeployRoleForECS。
AWSCodeDeployRoleForECSLimited
您不能将 AWSCodeDeployRoleForECSLimited
附加到自己的 IAM 实体。此策略附加到服务链接角色,该角色允许 CodeDeploy 代表您执行操作。有关更多信息,请参阅 Amazon CodeDeploy 用户指南中的为 CodeDeploy 创建服务角色。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AWSCodeDeployRoleForECSLimited。
AmazonECSInfrastructureRolePolicyForVpcLattice
可以将 AmazonECSInfrastructureRolePolicyForVpcLattice
策略附加到您的 IAM 实体。此策略提供代表您管理 Amazon ECS 工作负载中的 VPC Lattice 功能所需的对其他 Amazon 服务资源的访问权限。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AmazonECSInfrastructureRolePolicyForVpcLattice。
提供代表您管理 Amazon ECS 工作负载中的 VPC Lattice 功能所需的对其他 Amazon 服务资源的访问权限。
Amazon ECS 更新为 Amazon 托管策略
查看自此服务开始跟踪这些更改以来 Amazon ECS Amazon 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon ECS 文档历史记录页面上的 RSS 源。
更改 | 描述 | 日期 |
---|---|---|
提供代表您管理 Amazon ECS 工作负载中的 VPC Lattice 功能所需的对其他 Amazon 服务资源的访问权限。 | 2024 年 11 月 18 日 | |
更新了 AmazonECSInfrastructureRolePolicyForVolumes 策略,以允许客户利用快照创建 Amazon EBS 卷。 |
2024 年 10 月 10 日 | |
增加了 AmazonECS_FullAccess 权限 |
更新了 AmazonECS_FullAccess 策略,从而为名为 ecsInfrastructureRole 的角色增加了 IAM 角色的 iam:PassRole 权限。这是由 Amazon Web Services Management Console 创建的默认 IAM 角色,该角色旨在用作 ECS 基础设施角色,从而允许 Amazon ECS 管理挂载到 ECS 任务的 Amazon EBS 卷。 |
2024 年 8 月 13 日 |
新增 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity 策略 |
新增 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity 策略,该策略提供对 Amazon KMS、Amazon Private Certificate Authority、Secrets Manager 的管理访问权限,并使 Amazon ECS Service Connect TLS 功能能够正常工作。 |
2024 年 1 月 22 日 |
已添加 AmazonECSInfrastructureRolePolicyForVolumes 策略。该策略授予 Amazon ECS 进行 Amazon API 调用所需的权限,以管理与 Amazon ECS 工作负载关联的 Amazon EBS 卷。 |
2024 年 1 月 11 日 | |
将权限添加到 AmazonECSServiceRolePolicy |
AmazonECSServiceRolePolicy 托管 IAM 策略已更新,增加了新的 events 权限,以及附加的 autoscaling 和 autoscaling-plans 权限。 |
2023 年 12 月 4 日 |
AmazonECSServiceRolePolicy 托管 IAM 策略已更新,允许访问 Amazon Cloud Map DiscoverInstancesRevision API 操作。 |
2023 年 10 月 4 日 | |
修改 AmazonEC2ContainerServiceforEC2Role 策略是为了添加 ecs:TagResource 权限,其中包括一个条件,该条件将权限限制为仅限于新创建的集群和注册的容器实例。 |
2023 年 3 月 6 日 | |
向 AmazonECS_FullAccess 添加权限 |
修改 AmazonECS_FullAccess 策略是为了添加 elasticloadbalancing:AddTags 权限,其中包括一个条件,该条件将权限限制为仅限于新创建的负载均衡器、目标组、规则和创建的侦听器。此权限不允许向任何已经创建的 Elastic Load Balancing 资源添加标签。 |
2023 年 1 月 4 日 |
Amazon ECS 开始跟踪更改 |
Amazon ECS 开始跟踪其 Amazon 托管策略的更改。 |
2021 年 6 月 8 日 |