Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erforderliche Berechtigungen für die Amazon-ECS-Konsole
Nach den bewährten Methoden zur Erteilung von geringsten Privilegien können Sie die von AmazonECS_FullAccess verwaltete Richtlinie als Vorlage zum Erstellen eigener benutzerdefinierter Richtlinien verwenden. Auf diese Weise können Sie Berechtigungen zu und aus der verwalteten Richtlinie basierend auf Ihren spezifischen Anforderungen entfernen oder hinzufügen. Weitere Informationen finden Sie unter AmazonECS_ FullAccess in der AWS Managed Policy Reference.
Berechtigungen für die Erstellung von IAM-Rollen
Für die folgenden Aktionen sind zusätzliche Berechtigungen erforderlich, um den Vorgang abzuschließen:
-
Registrieren einer externen Instance – weitere Informationen finden Sie unter IAM-Rolle für Amazon ECS Anywhere
-
Registrieren einer Aufgabendefinition – für weitere Informationen erhalten Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung
-
Eine EventBridge Regel zur Planung von Aufgaben erstellen — weitere Informationen finden Sie unter Amazon ECS EventBridge IAM-Rolle
Sie können diese Berechtigungen hinzufügen, indem Sie eine Rolle in IAM erstellen, bevor Sie sie in der Amazon-ECS-Konsole verwenden. Wenn Sie die Rollen nicht erstellen, erstellt die Amazon-ECS-Konsole sie in Ihrem Namen.
Erforderliche IAM-Berechtigungen zum Registrieren einer externen Instance in einem Cluster
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine externe Instance in einem Cluster registrieren und eine neue externe Instance-Rolle (ecsExternalInstanceRole) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
iam– Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien zu erstellen und aufzulisten.-
ich bin: AttachRolePolicy
-
ich bin: CreateRole
-
bin: CreateInstanceProfile
-
ich bin: AddRoleToInstanceProfile
-
ich bin: ListInstanceProfilesForRole
-
ich bin: GetRole
-
-
ssm– Ermöglicht es Prinzipalen, die externe Instance bei Systems Manager zu registrieren.
Anmerkung
Um eine vorhandene ecsExternalInstanceRole auswählen zu können, benötigen Sie die Berechtigungen iam:GetRole und iam:PassRole.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die ecsExternalInstanceRole-Rolle.
Erforderliche Berechtigungen zum Registrieren einer Aufgabendefinition
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine Aufgabendefinition registrieren und eine neue Aufgabenausführungsrolle (ecsTaskExecutionRole) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
iam– Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien zu erstellen und aufzulisten.-
ich bin: AttachRolePolicy
-
ich bin: CreateRole
-
ich bin: GetRole
-
Anmerkung
Um eine vorhandene ecsTaskExecutionRole auswählen zu können, benötigen Sie die Berechtigung iam:GetRole.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die ecsTaskExecutionRole-Rolle.
Erforderliche Berechtigungen für die Verwendung von Amazon Q Developer zur Bereitstellung von Empfehlungen in der Konsole
Damit Amazon Q Developer Empfehlungen in der Amazon-ECS-Konsole bereitstellt, müssen Sie die richtigen IAM-Berechtigungen für Ihren IAM-Benutzer oder Ihre IAM-Rolle aktivieren. Sie müssen die Berechtigung codewhisperer:GenerateRecommendations hinzufügen.
Um den Inline-Chat in der Amazon-ECS-Konsole zu verwenden, müssen Sie die richtigen IAM-Berechtigungen für Ihren IAM-Benutzer oder Ihre IAM-Rolle aktivieren. Sie müssen die Berechtigung q:SendMessage hinzufügen.
Für die Erstellung einer EventBridge Regel für geplante Aufgaben sind Berechtigungen erforderlich
Sie benötigen zusätzliche Berechtigungen, wenn Sie eine Aufgabe planen und eine neue Rolle der Rolle „ CloudWatch Ereignisse“ (ecsEventsRole) erstellen möchten.
Die folgende zusätzliche Berechtigung ist erforderlich:
-
iam– Ermöglicht es Prinzipalen, IAM-Rollen und die zugehörigen Richtlinien zu erstellen und aufzulisten und es Amazon ECS zu ermöglichen, die Rolle an andere Services weiterzugeben, damit diese Rolle übernommen wird.
Anmerkung
Um eine vorhandene ecsEventsRole auswählen zu können, benötigen Sie die Berechtigungen iam:GetRole und iam:PassRole.
Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die ecsEventsRole-Rolle.
Die erforderlichen Berechtigungen Für die Anzeige von Servicebereitstellungen
Wenn Sie die bewährte Methode der geringsten Berechtigung befolgen, müssen Sie zusätzliche Berechtigungen hinzufügen, um Servicebereitstellungen in der Konsole anzuzeigen.
Sie benötigen Zugriff auf die folgenden Aktionen:
ListServiceDeployments
DescribeServiceDeployments
DescribeServiceRevisions
Sie benötigen Zugriff auf die folgenden Ressourcen:
Service
Servicebereitstellung
Version des Dienstes
Die folgende Beispielsrichtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf einen bestimmten Service.
Ersetzen Sie account, cluster-name und service-name durch Ihre eigenen Werte.
Erforderliche Berechtigungen zum Anzeigen von Lebenszyklusereignissen von Amazon ECS in Container Insights
Die folgenden Berechtigungen sind erforderlich, um die Lebenszyklusereignisse anzuzeigen. Fügen Sie die folgenden Berechtigungen als Inline-Richtlinie zur Rolle hinzu. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Richtlinien.
-
Ereignisse: DescribeRule
-
Ereignisse: ListTargetsByRule
-
Protokolle: DescribeLogGroups
Erforderliche Berechtigungen zum Aktivieren von Amazon-ECS-Lebenszyklusereignissen in Container Insights
Die folgenden Berechtigungen sind erforderlich, um die Lebenszyklusereignisse zu konfigurieren:
-
Ereignisse: PutRule
-
Ereignisse: PutTargets
-
Protokolle: CreateLogGroup
