登录控制台
Amazon ECS
AWS Fargate 用户指南 (API 版本 2014-11-13)
AWS 文档 » Amazon EC2 Container Service » AWS Fargate 用户指南 » Amazon ECS IAM 策略、角色和权限 » Amazon ECS API 操作支持的资源级权限
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

Amazon ECS API 操作支持的资源级权限

资源级权限 一词是指指定允许用户对哪些资源执行操作的能力。Amazon ECS 对资源级权限提供部分支持。这意味着对于某些 Amazon ECS 操作,您可以控制何时允许用户执行操作(基于必须满足的条件)或是允许用户使用的特定资源。例如,您可以向用户授予启动实例的权限,但是仅限特定类型的实例,并且只能使用特定的 AMI。

下表介绍当前支持资源级权限的 Amazon ECS API 操作,以及每个操作支持的资源、资源 ARN 和条件密钥。

重要

如果某一 Amazon ECS API 操作在此表中没有列出,则它不支持资源级权限。如果 Amazon ECS API 操作不支持资源级权限,那么,您可以向用户授予使用该操作的权限,但是必须为策略语句的资源元素指定 *。

API 操作 资源 条件密钥
DeleteAttributes

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster
DeleteCluster

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用
DeregisterContainerInstance

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用
DescribeClusters

集群

arn:aws:ecs:region:account:cluster/my-cluster1、arn:aws:ecs:region:account:cluster/my-cluster2

不适用
DescribeContainerInstances

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id1、arn:aws:ecs:region:account:container-instance/container-instance-id2

ecs:cluster
DescribeTasks

任务

arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a、arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252b

ecs:cluster
ListAttributes

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用
ListContainerInstances

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用
ListTasks

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster
轮询

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster
PutAttributes

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster
RegisterContainerInstance

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用
RunTask

任务定义

arn:aws:ecs:region:account:task-definition/hello_world:8

ecs:cluster
StartTask

任务定义

arn:aws:ecs:region:account:task-definition/hello_world:8

ecs:cluster

ecs:container-instances
StartTelemetrySession

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster
StopTask

任务

arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a

ecs:cluster
SubmitContainerStateChange

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用
SubmitTaskStateChange

集群

arn:aws:ecs:region:account:cluster/my-cluster

不适用
UpdateContainerAgent

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster
UpdateContainerInstancesState

容器实例

arn:aws:ecs:region:account:container-instance/container-instance-id

ecs:cluster