Amazon ECS API 操作支持的资源级权限 - Amazon ECS
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon ECS API 操作支持的资源级权限

资源级权限 一词是指指定允许用户对哪些资源执行操作的能力。Amazon ECS 对资源级权限提供部分支持。这意味着对于某些 Amazon ECS 操作,您可以控制何时允许用户执行操作(基于必须满足的条件)或是允许用户使用的特定资源。例如,您可以为用户授予启动实例的权限,但是仅限特定类型的实例,并且只能使用特定的 AMI。

有关 Amazon ECS 操作创建或修改的资源以及可以在 IAM 策略语句中使用的 ARN 和 Amazon ECS 条件键的更多信息,请参阅 IAM 用户指南 中的 Amazon Elastic Container Service 的操作、资源和条件键

有关资源级权限的注意事项

当通过在 IAM 策略中指定资源的 Amazon 资源名称 (ARN) 来控制对 Amazon ECS API 操作的访问时,请记住,ECS 引入了一个账户设置,该设置会影响容器实例、服务和任务的 ARN 格式。要使用资源级权限,我们建议您选择使用新的、更长的 ARN 格式。有关更多信息,请参阅 Amazon 资源名称 (ARN) 和 ID

在评估 IAM 策略时,根据指定资源对新的、更长的 ARN 格式的使用来评估这些资源。以下是访问控制方式的示例。

使用通配符指定仅具有集群的服务

示例:arn:aws:ecs:region:aws_account_id:service/cluster_name*

在此示例中,将控制对以下服务的访问:

  • cluster_name* 集群中所有使用新 ARN 格式的服务。

  • cluster_name* 集群中所有使用旧 ARN 格式的服务。

重要

这将不会控制对使用旧 ARN 格式、具有前缀为 cluster_name 的服务名称且不在 cluster_name* 集群中的服务的访问。

使用通配符指定同时具有集群和服务名称的服务

示例:arn:aws:ecs:region:aws_account_id:service/cluster_name/service_name*

在此示例中,将控制对以下服务的访问:

  • cluster_name 集群中所有使用新 ARN 格式的服务(具有 service_name 前缀)。

  • cluster_name 集群中所有使用旧 ARN 格式的服务(具有 service_name 前缀),即使服务的实际 ARN 仍将采用 arn:aws:ecs:region:aws_account_id:service/service_name* ARN 格式。

指定具有完整 ARN 的服务

示例:arn:aws:ecs:region:aws_account_id:service/cluster_name/service_name

在此示例中,将控制对以下服务的访问:

  • cluster_name 集群中所有使用新 ARN 格式的服务(具有 service_name 服务名称)。

  • cluster_name 集群中所有使用旧 ARN 格式的服务(具有 service_name 服务名称),即使服务的实际 ARN 仍将采用 arn:aws:ecs:region:aws_account_id:service/service_name ARN 格式。