Permisos necesarios para la consola de Amazon ECS con CloudFormation - Amazon Elastic Container Service
Permisos necesarios para crear un clústerPermisos necesarios para crear un servicio

Permisos necesarios para la consola de Amazon ECS con CloudFormation

Antes de usar Consola de administración de AWS para crear sus recursos, deberá asegurarse de tener los permisos de IAM correctos. Para obtener información sobre cómo configurar primero los permisos para la consola de Amazon ECS en general, consulte Permisos necesarios para la consola de Amazon ECS.

La consola de Amazon ECS se basa en AWS CloudFormation y requiere permisos de IAM adicionales en los siguientes casos:

  • Creación de un clúster

  • Crear un servicio

  • Creación de un proveedor de capacidad

Puede crear una política para los permisos adicionales y, a continuación, adjuntarlas al rol de IAM que utilice para acceder a la consola. Para obtener más información, consulte Creación de políticas de IAM en la Guía del usuario de IAM.

Permisos necesarios para crear un clúster

Cuando crea un clúster en la consola, necesita permisos adicionales que le permitan administrar las pilas de CloudFormation.

Se requieren los siguientes permisos adicionales:

  • cloudformation: permite a los usuarios principales crear y administrar pilas de CloudFormation. Esto se debe hacer cuando se crean clústeres de Amazon ECS mediante la Consola de administración de AWS y posteriormente se administran.

  • ssm: permite a CloudFormation hacer referencia a la última AMI optimizada para Amazon ECS. Esto se debe hacer cuando se crean clústeres de Amazon ECS mediante el uso de la Consola de administración de AWS.

La siguiente política contiene los permisos CloudFormation necesarios y limita las acciones a los recursos creados en la consola de Amazon ECS.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack"
             ],
            "Resource": [
                "arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*"
            ]
      },
      {
          "Effect": "Allow",
          "Action": "ssm:GetParameters",
          "Resource": [
            "arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2*/*",
            "arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2023*/*"
          ]
      }
   ]
}

Si no ha creado el rol de instancia de contenedor de Amazon ECS (ecsInstanceRole) y va a crear un clúster que utilice instancias de Amazon EC2, la consola creará el rol en su nombre.

Además, si utiliza grupos de escalado automático, necesitará permisos adicionales para que la consola pueda agregar etiquetas a los grupos de escalado automático cuando utilice la característica de escalado automático del clúster.

Se requieren los siguientes permisos adicionales:

  • autoscaling: permite a la consola etiquetar el grupo de Amazon EC2 Auto Scaling. Esto se debe hacer cuando se administran grupos de Amazon EC2 Auto Scaling y se utiliza la característica de Auto Scaling de clústeres. La etiqueta es la etiqueta administrada por ECS que la consola agrega automáticamente al grupo para indicar que se creó en la consola.

  • iam: permite a los usuarios principales enumerar los roles de IAM y sus políticas asociadas. Los usuarios principales también pueden enumerar perfiles de instancias disponibles para instancias de Amazon EC2.

La siguiente política contiene los permisos de IAM necesarios y limita las acciones al rol ecsInstanceRole.

Los permisos de Auto Scaling no están limitados.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": "autoscaling:CreateOrUpdateTags",
            "Resource": "*"
        }
    ]
}

Permisos necesarios para crear un servicio

Cuando crea un servicio en la consola, necesita permisos adicionales que le permitan administrar las pilas de CloudFormation. Se requieren los siguientes permisos adicionales:

  • cloudformation: permite a los usuarios principales crear y administrar pilas de CloudFormation. Esto se debe hacer cuando se crean servicios de Amazon ECS mediante la Consola de administración de AWS y posteriormente se administran.

La siguiente política contiene los permisos necesarios y limita las acciones a los recursos creados en la consola de Amazon ECS.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack"
             ],
            "Resource": [
                "arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*"
            ]
      }
   ]
}