AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 AWS 服务入门。

Amazon ECS API 操作支持的资源级权限

资源级权限 一词是指指定允许用户对哪些资源执行操作的能力。Amazon ECS 对资源级权限提供部分支持。这意味着对于某些 Amazon ECS 操作，您可以控制何时允许用户执行操作（基于必须满足的条件）或是允许用户使用的特定资源。例如，您可以向用户授予启动实例的权限，但是仅限特定类型的实例，并且只能使用特定的 AMI。

下表介绍当前支持资源级权限的 Amazon ECS API 操作，以及每个操作支持的资源、资源 ARN 和条件密钥。

重要

如果此表中的 Amazon ECS API 操作未针对 Resource Types 标记为 N/A，则它不支持资源级权限。如果 Amazon ECS API 操作不支持资源级权限，那么，您可以向用户授予使用该操作的权限，但是必须为策略语句的资源元素指定 *。

操作	资源类型	条件键
CreateCluster	不适用	aws:RequestTag
CreateService	不适用	不适用
CreateTaskSet	不适用	不适用
DeleteAccountSettings	不适用	不适用
DeleteAttributes	容器实例（必需） arn:aws:ecs:region:account:container-instance/container-instance-id	ecs:cluster
DeleteCluster	集群（必需） arn:aws:ecs:region:account:cluster/my-cluster	不适用
DeleteService	不适用	不适用
DeleteTaskSet	不适用	不适用
DeregisterContainerInstance	集群（必需） arn:aws:ecs:region:account:cluster/my-cluster	不适用
DeregisterTaskDefinition	不适用	不适用
DescribeClusters	集群（必需） arn:aws:ecs:region:account:cluster/my-cluster1、arn:aws:ecs:region:account:cluster/my-cluster2	不适用
DescribeContainerInstances	容器实例（必需） arn:aws:ecs:region:account:container-instance/container-instance-id1、arn:aws:ecs:region:account:container-instance/container-instance-id2	ecs:cluster
DescribeServices	不适用	不适用
DescribeTaskDefinition	不适用	不适用
DescribeTasks	任务（必需） arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a、arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252b	ecs:cluster
DescribeTaskSets	不适用	不适用
DiscoverPollEndpoint	不适用	不适用
ListAccountSettings	不适用	不适用
ListAttributes	集群（必需） arn:aws:ecs:region:account:cluster/my-cluster	不适用
ListClusters	不适用	不适用
ListContainerInstances	集群（必需） arn:aws:ecs:region:account:cluster/my-cluster	不适用
ListServices	不适用	不适用
ListTagsForResource	集群 arn:aws:ecs:region:account:cluster/my-cluster 容器实例 arn:aws:ecs:region:account:container-instance/container-instance-id 任务 arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a 任务定义 arn:aws:ecs:region:account:task-definition/hello_world:8	不适用
ListTaskDefinitionFamilies	不适用	不适用
ListTaskDefinitions	不适用	不适用
ListTasks	容器实例（必需） arn:aws:ecs:region:account:container-instance/container-instance-id	ecs:cluster
轮询	容器实例（必需） arn:aws:ecs:region:account:container-instance/container-instance-id	ecs:cluster
PutAccountSetting	不适用	不适用
PutAccountSettingDefault	不适用	不适用
PutAttributes	容器实例（必需） arn:aws:ecs:region:account:container-instance/container-instance-id	ecs:cluster
RegisterContainerInstance	集群（必需） arn:aws:ecs:region:account:cluster/my-cluster	aws:RequestTag
RegisterTaskDefinition	不适用	aws:RequestTag
RunTask	任务定义（必需） arn:aws:ecs:region:account:task-definition/hello_world:8	ecs:cluster aws:RequestTag
StartTask	任务定义（必需） arn:aws:ecs:region:account:task-definition/hello_world:8	ecs:cluster ecs:container-instances aws:RequestTag
StartTelemetrySession	容器实例 arn:aws:ecs:region:account:container-instance/container-instance-id	ecs:cluster
StopTask	任务（必需） arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a	ecs:cluster
SubmitContainerStateChange	集群（必需） arn:aws:ecs:region:account:cluster/my-cluster	不适用
SubmitTaskStateChange	集群（必需） arn:aws:ecs:region:account:cluster/my-cluster	不适用
TagResource	集群 arn:aws:ecs:region:account:cluster/my-cluster 容器实例 arn:aws:ecs:region:account:container-instance/container-instance-id 任务 arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a 任务定义 arn:aws:ecs:region:account:task-definition/hello_world:8	aws:RequestTag
UntagResource	集群 arn:aws:ecs:region:account:cluster/my-cluster 容器实例 arn:aws:ecs:region:account:container-instance/container-instance-id 任务 arn:aws:ecs:region:account:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a 任务定义 arn:aws:ecs:region:account:task-definition/hello_world:8	不适用
UpdateContainerAgent	容器实例（必需） arn:aws:ecs:region:account:container-instance/container-instance-id	ecs:cluster
UpdateContainerInstancesState	容器实例（必需） arn:aws:ecs:region:account:container-instance/container-instance-id	ecs:cluster
UpdateService	不适用	不适用
UpdateSServicePrimaryTaskSet	不适用	不适用
UpdateTaskSet	不适用	不适用

Javascript 在您的浏览器中被禁用或不可用。

要使用 AWS 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。