Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erforderliche Berechtigungen für die Amazon-ECS-Konsole
<a name="console-permissions"></a>

Nach den bewährten Methoden zur Erteilung von geringsten Privilegien können Sie die von `AmazonECS_FullAccess` verwaltete Richtlinie als Vorlage zum Erstellen eigener benutzerdefinierter Richtlinien verwenden. Auf diese Weise können Sie Berechtigungen zu und aus der verwalteten Richtlinie basierend auf Ihren spezifischen Anforderungen entfernen oder hinzufügen. *Weitere Informationen finden Sie unter [AmazonECS\_ FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) in der AWS Managed Policy Reference.*

## Berechtigungen für die Erstellung von IAM-Rollen
<a name="console-create-roles"></a>

Für die folgenden Aktionen sind zusätzliche Berechtigungen erforderlich, um den Vorgang abzuschließen:
+ Registrieren einer externen Instance – weitere Informationen finden Sie unter [IAM-Rolle für Amazon ECS Anywhere](iam-role-ecsanywhere.md) 
+ Registrieren einer Aufgabendefinition – für weitere Informationen erhalten Sie unter [IAM-Rolle für die Amazon-ECS-Aufgabenausführung](task_execution_IAM_role.md)
+ Eine EventBridge Regel zur Planung von Aufgaben erstellen — weitere Informationen finden Sie unter [Amazon ECS EventBridge IAM-Rolle](CWE_IAM_role.md)

Sie können diese Berechtigungen hinzufügen, indem Sie eine Rolle in IAM erstellen, bevor Sie sie in der Amazon-ECS-Konsole verwenden. Wenn Sie die Rollen nicht erstellen, erstellt die Amazon-ECS-Konsole sie in Ihrem Namen.

## Erforderliche IAM-Berechtigungen zum Registrieren einer externen Instance in einem Cluster
<a name="register-external-instance"></a>

Sie benötigen zusätzliche Berechtigungen, wenn Sie eine externe Instance in einem Cluster registrieren und eine neue externe Instance-Rolle (`ecsExternalInstanceRole`) erstellen möchten. 

Die folgende zusätzliche Berechtigung ist erforderlich:
+ `iam` – Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien zu erstellen und aufzulisten. 
  + ich bin: AttachRolePolicy
  + ich bin: CreateRole
  + bin: CreateInstanceProfile
  + ich bin: AddRoleToInstanceProfile
  + ich bin: ListInstanceProfilesForRole
  + ich bin: GetRole
+ `ssm` – Ermöglicht es Prinzipalen, die externe Instance bei Systems Manager zu registrieren. 

**Anmerkung**  
Um eine vorhandene `ecsExternalInstanceRole` auswählen zu können, benötigen Sie die Berechtigungen `iam:GetRole` und `iam:PassRole`.

Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die `ecsExternalInstanceRole`-Rolle. 

------
#### [ JSON ]

****  

```
{
"Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
          ],
          "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
      },
      {
          "Effect": "Allow",
          "Action": ["iam:PassRole","ssm:CreateActivation"],
          "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
      }
    ]
}
```

------

## Erforderliche Berechtigungen zum Registrieren einer Aufgabendefinition
<a name="register-task-def"></a>

Sie benötigen zusätzliche Berechtigungen, wenn Sie eine Aufgabendefinition registrieren und eine neue Aufgabenausführungsrolle (`ecsTaskExecutionRole`) erstellen möchten. 

Die folgende zusätzliche Berechtigung ist erforderlich:
+ `iam` – Ermöglicht es Prinzipalen, IAM-Rollen und ihre angehängten Richtlinien zu erstellen und aufzulisten. 
  + ich bin: AttachRolePolicy
  + ich bin: CreateRole
  + ich bin: GetRole

**Anmerkung**  
Um eine vorhandene `ecsTaskExecutionRole` auswählen zu können, benötigen Sie die Berechtigung `iam:GetRole`.

Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die `ecsTaskExecutionRole`-Rolle. 

------
#### [ JSON ]

****  

```
{
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "iam:AttachRolePolicy",
            "iam:CreateRole",
            "iam:GetRole"
        ],
        "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
        }
    ]
}
```

------

## Erforderliche Berechtigungen für die Verwendung von Amazon Q Developer zur Bereitstellung von Empfehlungen in der Konsole
<a name="amazon-q-permission"></a>

 Damit Amazon Q Developer Empfehlungen in der Amazon-ECS-Konsole bereitstellt, müssen Sie die richtigen IAM-Berechtigungen für Ihren IAM-Benutzer oder Ihre IAM-Rolle aktivieren. Sie müssen die Berechtigung `codewhisperer:GenerateRecommendations` hinzufügen.

------
#### [ JSON ]

****  

```
{
"Statement": [
      {
            "Sid": "AmazonQDeveloperPermissions",
            "Effect": "Allow",
            "Action": ["codewhisperer:GenerateRecommendations"],
            "Resource": "*"
        }
    ]
}
```

------

 Um den Inline-Chat in der Amazon-ECS-Konsole zu verwenden, müssen Sie die richtigen IAM-Berechtigungen für Ihren IAM-Benutzer oder Ihre IAM-Rolle aktivieren. Sie müssen die Berechtigung `q:SendMessage` hinzufügen. 

------
#### [ JSON ]

****  

```
{
"Statement": [
    {
        "Sid": "AmazonQDeveloperInlineChatPermissions",
        "Effect": "Allow",
        "Action": ["q:SendMessage"],
        "Resource": "*"
    }
  ]
}
```

------

## Zum Erstellen einer EventBridge Regel für geplante Aufgaben sind Berechtigungen erforderlich
<a name="schedule-task"></a>

Sie benötigen zusätzliche Berechtigungen, wenn Sie eine Aufgabe planen und eine neue Rolle der Rolle „ CloudWatch Ereignisse“ (`ecsEventsRole`) erstellen möchten. 

Die folgende zusätzliche Berechtigung ist erforderlich:
+ `iam` – Ermöglicht es Prinzipalen, IAM-Rollen und die zugehörigen Richtlinien zu erstellen und aufzulisten und es Amazon ECS zu ermöglichen, die Rolle an andere Services weiterzugeben, damit diese Rolle übernommen wird.

**Anmerkung**  
Um eine vorhandene `ecsEventsRole` auswählen zu können, benötigen Sie die Berechtigungen `iam:GetRole` und `iam:PassRole`.

Die folgende Richtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf die `ecsEventsRole`-Rolle. 

------
#### [ JSON ]

****  

```
{
 "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "iam:AttachRolePolicy",
            "iam:CreateRole",
            "iam:GetRole",
            "iam:PassRole"
        ],
        "Resource": "arn:aws:iam::*:role/ecsEventsRole"
        }
    ]
}
```

------

## Die erforderlichen Berechtigungen Für die Anzeige von Servicebereitstellungen
<a name="service-deployments"></a>

 Wenn Sie die bewährte Methode der geringsten Berechtigung befolgen, müssen Sie zusätzliche Berechtigungen hinzufügen, um Servicebereitstellungen in der Konsole anzuzeigen.

Sie benötigen Zugriff auf die folgenden Aktionen:
+ ListServiceDeployments
+ DescribeServiceDeployments
+ DescribeServiceRevisions

Sie benötigen Zugriff auf die folgenden Ressourcen:
+ Service
+ Servicebereitstellung
+ Service-Version

Die folgende Beispielsrichtlinie enthält die erforderlichen Berechtigungen und beschränkt die Aktionen auf einen bestimmten Service. 

Ersetzen Sie `account`, `cluster-name` und `service-name` durch Ihre eigenen Werte.

------
#### [ JSON ]

****  

```
{
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "ecs:ListServiceDeployments",
            "ecs:DescribeServiceDeployments",
            "ecs:DescribeServiceRevisions"
        ],
        "Resource": [
            "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
            "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
            "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
            ]
        }
   ]
}
```

------

## Erforderliche Berechtigungen zum Anzeigen von Lebenszyklusereignissen von Amazon ECS in Container Insights
<a name="required-permissions-view"></a>

Die folgenden Berechtigungen sind erforderlich, um die Lebenszyklusereignisse anzuzeigen. Fügen Sie die folgenden Berechtigungen als Inline-Richtlinie zur Rolle hinzu. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
+ Ereignisse: DescribeRule
+ Ereignisse: ListTargetsByRule
+ Protokolle: DescribeLogGroups

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "events:DescribeRule",
        "events:ListTargetsByRule",
        "logs:DescribeLogGroups"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Erforderliche Berechtigungen zum Aktivieren von Amazon-ECS-Lebenszyklusereignissen in Container Insights
<a name="required-permissions-configure"></a>

Die folgenden Berechtigungen sind erforderlich, um die Lebenszyklusereignisse zu konfigurieren:
+ Ereignisse: PutRule
+ Ereignisse: PutTargets
+ Protokolle: CreateLogGroup

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "events:PutRule",
        "events:PutTargets",
        "logs:CreateLogGroup"
      ],
      "Resource": "*"
    }
  ]
}
```

------