Migración a la política administrada AmazonECS_FullAccess - Amazon Elastic Container Service

Migración a la política administrada AmazonECS_FullAccess

La política de IAM administrada AmazonEC2ContainerServiceFullAccess se eliminó gradualmente el 29 de enero de 2021, en respuesta a un problema de seguridad detectado en el permiso iam:passRole. Este permiso concede acceso a todos los recursos, incluso a las credenciales de los roles de la cuenta. Ahora que la política se eliminó gradualmente, no la puede asociar a grupos, usuarios o roles nuevos. Todos los grupos, usuarios o roles que ya tengan asociada la política, pueden continuar utilizándola. No obstante, es aconsejable que actualice sus grupos, usuarios o roles para que utilicen la política administrada AmazonECS_FullAccess.

Los permisos que concede la política AmazonECS_FullAccess incluye la lista completa de permisos necesarios para utilizar ECS como administrador. Si actualmente utiliza permisos concedidos por la política AmazonEC2ContainerServiceFullAccess que no están en la política AmazonECS_FullAccess, puede agregarlos a una instrucción de política en línea. Para obtener más información, consulte Políticas administradas por AWS para Amazon Elastic Container Service.

Siga estos pasos para determinar si tiene grupos, usuarios o roles que actualmente estén utilizando la política de IAM administrada AmazonEC2ContainerServiceFullAccess. A continuación, actualícelos para separar desasociar la política anterior y asociar la AmazonECS_FullAccess.

Para actualizar un grupo, usuario o rol a fin de que utilice la política AmazonECS_FullAccess (AWS Management Console)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Policies (Políticas) y busque y seleccione la política AmazonEC2ContainerServiceFullAccess.

  3. Elija la pestaña Policy usage (Uso de políticas) que muestre cualquier rol de IAM que actualmente esté utilizando esta política.

  4. Para cada rol de IAM que actualmente esté utilizando la política AmazonEC2ContainerServiceFullAccess, seleccione el rol y siga estos pasos para desasociar la política obsoleta y adjuntar la política AmazonECS_FullAccess.

    1. En la página Permissions (Permisos), elija la X junto a la política AmazonEC2ContainerServiceFullAccess.

    2. Elija Añadir permisos.

    3. Elija Attach existing policies directly (Asociar políticas existentes directamente), busque y seleccione la política AmazonECS_FullAccess y, a continuación, elija Next: Review (Siguiente: Revisar).

    4. Revise los cambios y, luego, seleccione Add permissions (Agregar permisos).

    5. Repita estos pasos para cada grupo, usuario o rol que utilice la política AmazonEC2ContainerServiceFullAccess.

Para actualizar un grupo, usuario o rol a fin de que utilice la política AmazonECS_FullAccess (AWS CLI)

  1. Utilice el comando generate-service-last-accessed-details para generar un informe que incluya detalles sobre cuándo se usó la política obsoleta por última vez.

    aws iam generate-service-last-accessed-details \
     --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    Ejemplo de salida:

    {
    "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
}

  2. Utilice el ID de trabajo del resultado anterior con el comando get-service-last-accessed-details para recuperar el último informe del servicio al que se accedió. Este informe muestra el nombre de recurso de Amazon (ARN) de las entidades de IAM que usaron la política obsoleta por última vez.

    aws iam get-service-last-accessed-details \
      --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE

  3. Utilice uno de los siguientes comandos para desasociar la política AmazonEC2ContainerServiceFullAccess de un grupo, usuario o rol.

  4. Utilice uno de los siguientes comandos para asociar la política AmazonECS_FullAccess a un grupo, usuario o rol.