# AWSPolíticas administradas por para Amazon Elastic Container Service
<a name="security-iam-awsmanpol"></a>

Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que le brinden a su equipo solo los permisos necesarios. Para comenzar a hacerlo con rapidez, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su cuenta de AWS. Para obtener más información sobre las políticas administradas de AWS, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

Los servicios de AWS mantienen y actualizan las políticas administradas de AWS. No puede cambiar los permisos en las políticas gestionadas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWScuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan los permisos de una política administrada de AWS, por lo tanto, las actualizaciones de las políticas no deteriorarán los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política administrada de AWS ** ReadOnlyAccess** proporciona acceso de solo lectura a todos los servicios y los recursos de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.

Amazon ECS y Amazon ECR proporcionan varias políticas administradas y relaciones de confianza que se pueden asociar a usuarios, grupos, roles, instancias de Amazon EC2 y tareas de Amazon ECS para permitir diferentes niveles de control sobre los recursos y las operaciones de la API. Puede aplicar estas políticas directamente o puede usarlas como punto de partida para crear las suyas propias. Para obtener más información acerca de las políticas administradas por Amazon ECR, consulte [Políticas administradas por Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr_managed_policies.html).

## AmazonECS\$1FullAccess
<a name="security-iam-awsmanpol-AmazonECS_FullAccess"></a>

Puede asociar la política `AmazonECS_FullAccess` a las identidades de IAM. Esta política otorga acceso administrativo a los recursos de Amazon ECS y le otorga a una identidad de IAM (como un usuario, grupo o rol) acceso a los servicios de AWS con los que Amazon ECS está integrado para utilizar todas las características de Amazon ECS. El uso de esta política permite acceder a todas las características de Amazon ECS que están disponibles en la Consola de administración de AWS.

Para ver los permisos de esta política, consulte [AmazonECS\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) en la *Referencia de políticas administradas de AWS*.

## AmazonECSInfrastructureRolePolicyForVolumes
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes"></a>

Puede adjuntar la política administrada de `AmazonECSInfrastructureRolePolicyForVolumes` a las entidades de IAM.

La política concede los permisos que necesita Amazon ECS para hacer llamadas a la API de AWS en su nombre. Puede adjuntar esta política al rol de IAM que proporciona con la configuración de su volumen al lanzar las tareas y los servicios de Amazon ECS. El rol permite que Amazon ECS administre los volúmenes adjuntos a sus tareas. Para obtener más información, consulte [Rol de IAM para la infraestructura de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/infrastructure_IAM_role.html).

Para ver los permisos de esta política, consulte [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html) en la *Referencia de políticas administradas de AWS*.

## AmazonEC2ContainerServiceforEC2Role
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role"></a>

Puede asociar la política `AmazonEC2ContainerServiceforEC2Role` a las identidades de IAM. Esta política concede permisos administrativos que permiten a las instancias de contenedor de Amazon ECS realizar llamadas a AWS en su nombre. Para obtener más información, consulte [Rol de IAM de instancia de contenedor de Amazon ECS](instance_IAM_role.md).

Amazon ECS asocia esta política a una función de servicio que permite a Amazon ECS realizar acciones en su nombre contra las instancias de Amazon EC2 o las instancias externas.

Para ver los permisos de esta política, consulte [AmazonEC2ContainerServiceforEC2Role](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceforEC2Role.html) en la *Referencia de políticas administradas de AWS*.

### Consideraciones
<a name="instance-iam-role-considerations"></a>

Debe tener en cuenta las siguientes recomendaciones y consideraciones al utilizar la política de IAM administrada `AmazonEC2ContainerServiceforEC2Role`.
+ Siguiendo el consejo de seguridad estándar de concesión de privilegios mínimos, puede modificar la política administrada `AmazonEC2ContainerServiceforEC2Role` para que se adapte a sus necesidades específicas. Si alguno de los permisos otorgados en la política administrada no resulta necesario para su caso de uso, cree una política personalizada y agregue solo los permisos que necesite. Por ejemplo, el permiso `UpdateContainerInstancesState` se proporciona para el vaciado de instancias de spot. Si ese permiso no es necesario para su caso de uso, exclúyalo mediante una política personalizada. 
+ Los contenedores que se ejecutan en sus instancias de contenedor tienen acceso a todos los permisos que se suministran al rol de instancia de contenedor a través de [metadatos de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html). Le recomendamos que limite los permisos en el rol de instancia de contenedor a la lista mínima de permisos que se proporciona en la política administrada `AmazonEC2ContainerServiceforEC2Role`. Si los contenedores de sus tareas necesitan permisos adicionales que no se muestran aquí, le recomendamos que proporcione a esas tareas sus propios roles de IAM. Para obtener más información, consulte [Rol de IAM de tarea de Amazon ECS](task-iam-roles.md).

  Puede evitar que los contenedores se encuentren en el puente `docker0` accedan a los permisos proporcionados al rol de instancia de contenedor. Para hacer esto sin dejar de permitir los permisos proporcionados por [Rol de IAM de tarea de Amazon ECS](task-iam-roles.md), ejecute el comando **iptables** en sus instancias de contenedor. Los contenedores no pueden consultar metadatos de instancia con esta regla en vigor. Este comando supone que se aplica la configuración puente de Docker predeterminada y no funcionará para contenedores que utilicen el modo de red `host`. Para obtener más información, consulte [Modo de red](task_definition_parameters.md#network_mode).

  ```
  sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
  ```

  Debe guardar esta regla de **iptables** en la instancia de contenedor para que se conserve tras un reinicio. Utilice siguientes comandos para la AMI optimizada para Amazon ECS. Para otros sistemas operativos, consulte la documentación correspondiente a dicho sistema operativo.
  + Para la AMI de Amazon Linux 2 optimizada para Amazon ECS:

    ```
    sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
    ```
  + Para la AMI de Amazon Linux optimizada para Amazon ECS:

    ```
    sudo service iptables save
    ```

## AmazonEC2ContainerServiceEventsRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole"></a>

Puede asociar la política `AmazonEC2ContainerServiceEventsRole` a las identidades de IAM. Esta política concede permisos que permiten a Amazon EventBridge (anteriormente CloudWatch Events) ejecutar tareas en su nombre. Esta política se puede asociar al rol de IAM que se especifica al crear tareas programadas. Para obtener más información, consulte [Rol de IAM de EventBridge de Amazon ECS](CWE_IAM_role.md).

Para ver los permisos de esta política, consulte [AmazonEC2ContainerServiceEventsRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceEventsRole.html) en la *Referencia de políticas administradas de AWS*.

## AmazonECSTaskExecutionRolePolicy
<a name="security-iam-awsmanpol-AmazonECSTaskExecutionRolePolicy"></a>

La política de IAM administrada `AmazonECSTaskExecutionRolePolicy` otorga los permisos que necesita el agente de contenedor de Amazon ECS y los agentes de contenedor de AWS Fargate para hacer llamadas a la API de AWS en su nombre. Esta política se puede agregar a su rol de IAM de ejecución de tareas. Para obtener más información, consulte [Rol de IAM de ejecución de tareas de Amazon ECS](task_execution_IAM_role.md).

Para ver los permisos de esta política, consulte [AmazonECSTaskExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSTaskExecutionRolePolicy.html) en la *Referencia de políticas administradas de AWS*.

## AmazonECSServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonECSServiceRolePolicy"></a>

La política de IAM `AmazonECSServiceRolePolicy` administrada permite que Amazon Elastic Container Service administre su clúster. Esta política puede ser añadida a su función vinculada al servicio [AWSServiceRoleForECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using-service-linked-roles-for-clusters.html#service-linked-role-permissions-clusters) . 

Para ver los permisos de esta política, consulte [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSServiceRolePolicy.html) en la *Referencia de políticas administradas de AWS*.

## `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity"></a>

También puede asociar la política `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` a sus entidades de IAM. Esta política concede acceso administrativo a AWS Private Certificate Authority, Secrets Manager y otros servicios de AWS necesarios para administrar las características de TLS de Amazon ECS Service Connect en su nombre.

Para ver los permisos de esta política, consulte [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html) en la *Referencia de políticas administradas de AWS*.

## `AWSApplicationAutoscalingECSServicePolicy`
<a name="security-iam-awsmanpol-AWSApplicationAutoscalingECSServicePolicy"></a>

No puede asociar `AWSApplicationAutoscalingECSServicePolicy` a sus entidades IAM. Esta política se asocia a un rol vinculado al servicio que permite a Application Auto Scaling realizar acciones en su nombre. Para obtener más información, consulte [Roles vinculados a servicios para Aplication Auto Scaling](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html).

Para ver los permisos de esta política, consulte [AWSApplicationAutoscalingECSServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingECSServicePolicy.html) en la *Referencia de políticas administradas de AWS*.

## `AWSCodeDeployRoleForECS`
<a name="security-iam-awsmanpol-AWSCodeDeployRoleForECS"></a>

No puede asociar `AWSCodeDeployRoleForECS` a sus entidades IAM. Esta política se asocia a un rol vinculado al servicio que permite a CodeDeploy realizar acciones en su nombre. Para obtener más información, consulte [Creación de una función de servicio para CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html) en la *Guía del usuario de AWS CodeDeploy*.

Para ver los permisos de esta política, consulte [AWSCodeDeployRoleForECS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECS.html) en la *Referencia de políticas administradas de AWS*.

## `AWSCodeDeployRoleForECSLimited`
<a name="security-iam-awsmanpol-AWSCodeDeployRoleForECSLimited"></a>

No puede asociar `AWSCodeDeployRoleForECSLimited` a sus entidades IAM. Esta política se asocia a un rol vinculado al servicio que permite a CodeDeploy realizar acciones en su nombre. Para obtener más información, consulte [Creación de una función de servicio para CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html) en la *Guía del usuario de AWS CodeDeploy*.

Para ver los permisos de esta política, consulte [AWSCodeDeployRoleForECSLimited](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECSLimited.html) en la *Referencia de políticas administradas de AWS*.

## `AmazonECSInfrastructureRolePolicyForLoadBalancers`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers"></a>

También puede asociar la política `AmazonECSInfrastructureRolePolicyForLoadBalancers` a sus entidades de IAM. Esta política concede permisos que permiten a Amazon ECS administrar los recursos de Elastic Load Balancing en su nombre. La política incluye:
+ Permisos de solo lectura para describir los oyentes, las reglas, los grupos de destino y el estado de los destinos
+ Permisos para registrar los destinos y anular su registro con los grupos de destino
+ Permisos para modificar los oyentes de los equilibradores de carga de aplicación y los equilibradores de carga de red
+ Permisos para modificar las reglas de los equilibradores de carga de aplicación

Estos permisos permiten a Amazon ECS administrar automáticamente las configuraciones del equilibrador de carga cuando se crean o actualizan los servicios, lo que garantiza el enrutamiento correcto del tráfico a los contenedores.

Para ver los permisos de esta política, consulte [AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForLoadBalancers.html) en la *referencia de políticas administradas de AWS*.

## `AmazonECSInfrastructureRolePolicyForManagedInstances`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances"></a>

También puede asociar la política `AmazonECSInfrastructureRolePolicyForManagedInstances` a sus entidades de IAM. Esta política concede los permisos requeridos por Amazon ECS para crear y actualizar los recursos de Amazon EC2 para instancias administradas de ECS en su nombre. La política incluye:
+ Permisos para crear y administrar plantillas de lanzamiento de Amazon EC2 para instancias administradas
+ Permisos para aprovisionar instancias de Amazon EC2 mediante CreateFleet y RunInstances
+ Permisos para crear y administrar etiquetas en los recursos de Amazon EC2 creados por ECS
+ Permisos para transferir roles de IAM a instancias de Amazon EC2 para instancias administradas
+ Permisos para crear roles vinculados a servicios para instancias de spot de Amazon EC2
+ Permisos de solo lectura para describir los recursos de Amazon EC2, que incluyen las instancias, los tipos de instancias, las plantillas de lanzamiento, las interfaces de red, las zonas de disponibilidad, los grupos de seguridad, las subredes, las VPC, las imágenes de EC2 y reservas de capacidad
+ Permisos de solo lectura para enumerar los recursos de Amazon ResourceGroups, que requieren permisos subyacentes para obtener los recursos etiquetados y enumerar los recursos de la pila de Amazon CloudFormation

Estos permisos permiten a Amazon ECS aprovisionar y administrar automáticamente las instancias de Amazon EC2 para instancias administradas de ECS, lo que garantiza una configuración y una administración del ciclo de vida adecuadas de los recursos computacionales subyacentes.

Para ver los permisos de esta política, consulte [AmazonECSInfrastructureRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html) en la *Referencia de políticas administradas de AWS*.

## `AmazonECSInfrastructureRolePolicyForVpcLattice`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice"></a>

También puede asociar la política `AmazonECSInfrastructureRolePolicyForVpcLattice` a sus entidades de IAM. Esta política proporciona acceso a otros recursos de servicio de AWS necesarios para administrar en su nombre la característica de VPC Lattice en las cargas de trabajo de Amazon ECS.

Para ver los permisos de esta política, consulte [AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html) en la *Referencia de políticas administradas de AWS*.

Proporciona acceso a otros recursos de servicio de AWS necesarios para administrar en su nombre la característica de VPC Lattice en las cargas de trabajo de Amazon ECS.

## `AmazonECSInfrastructureRoleforExpressGatewayServices`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices"></a>

También puede asociar la política `AmazonECSInfrastructureRoleforExpressGatewayServices` a sus entidades de IAM. Esta política concede los permisos requeridos por Amazon ECS para crear y actualizar aplicaciones web utilizando los servicios exprés en su nombre. La política incluye:
+ Permisos para crear roles vinculados a servicios para Application Auto Scaling de Amazon ECS
+ Permisos para crear, modificar y eliminar equilibradores de carga de aplicación, agentes de escucha, reglas y grupos de destino
+ Permisos para crear, modificar y eliminar grupos de seguridad de VPC para recursos administrados por ECS
+ Permisos para solicitar, administrar y eliminar certificados SSL/TLS a través de ACM
+ Permisos para configurar las políticas y los destinos de Application Auto Scaling para los servicios de Amazon ECS
+ Permisos para crear y administrar alarmas de CloudWatch para desencadenadores de escalado automático
+ Permisos de solo lectura para describir los equilibradores de carga, los recursos de VPC, los certificados, las configuraciones de escalado automático y las alarmas de CloudWatch

Estos permisos permiten a Amazon ECS aprovisionar y administrar automáticamente los componentes de infraestructura necesarios para las aplicaciones web de servicios exprés, incluidos el equilibrio de carga, los grupos de seguridad, los certificados SSL y las configuraciones de escalado automático.

Para ver los permisos de esta política, consulte [AmazonECSInfrastructureRoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html) en la *Referencia de políticas administradas de AWS*.

## `AmazonECSComputeServiceRolePolicy`
<a name="security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy"></a>

La política `AmazonECSComputeServiceRolePolicy` está asociada al rol vinculado a servicios de AmazonECSComputeServiceRole service-linked. Para obtener más información, consulte [Uso de roles para administrar instancias administradas de Amazon ECS](using-service-linked-roles-instances.md).

Esta política incluye los siguientes permisos que permiten a Amazon ECS completar las siguientes tareas:
+ Amazon ECS puede describir y eliminar plantillas de lanzamiento.
+  Amazon ECS puede describir y eliminar versiones de plantillas de lanzamiento.
+ Amazon ECS puede terminar instancias.
+ Amazon ECS puede describir los siguientes parámetros de datos de instancia:
  + Instancia
  + Interfaces de red de instancias: Amazon ECS puede describir el permiso para administrar el ciclo de vida de las instancias de EC2.
  + Ventana de eventos de instancia: Amazon ECS puede describir la información de la ventana de eventos para determinar si se puede interrumpir el flujo de trabajo para aplicar parches a la instancia.
  + Estado de la instancia: Amazon ECS puede describir el estado de la instancia para supervisar su estado.

Para ver los permisos de esta política, consulte [AmazonECSComputeServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSComputeServiceRolePolicy.html) en la *Referencia de políticas administradas de AWS*.

## `AmazonECSInstanceRolePolicyForManagedInstances`
<a name="security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances"></a>

La política `AmazonECSInstanceRolePolicyForManagedInstances` proporciona permisos para que las instancias de instancias administradas de Amazon ECS se registren en los clústeres de Amazon ECS y se comuniquen con el servicio de Amazon ECS.

Esta política incluye los siguientes permisos que permiten a instancias administradas de Amazon ECS completar las siguientes tareas:
+ Registre y anule el registro en los clústeres de Amazon ECS.
+ Envíe los cambios de estado de instancia de contenedor.
+ Envíe los cambios de estado de la tarea.
+ Descubra los puntos de conexión de sondeo para el agente de Amazon ECS.

Para ver los permisos de esta política, consulte [AmazonECSInstanceRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInstanceRolePolicyForManagedInstances.html) en la *Referencia de políticas administradas de AWS*.

## Actualizaciones de Amazon ECS para políticas administradas por AWS
<a name="security-iam-awsmanpol-updates"></a>

Consultar los detalles sobre las actualizaciones de las políticas administradas por AWS para Amazon ECS ya que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de Amazon ECS.

 


| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
|   Actualización de la política `AmazonECSInfrastructureRolePolicyForManagedInstances`   |  La política `AmazonECSInfrastructureRolePolicyForManagedInstances` se ha actualizado con los siguientes permisos para admitir las reservas de capacidad en las instancias administradas por Amazon ECS: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/AmazonECS/latest/developerguide/security-iam-awsmanpol.html)  | 24 de febrero de 2026 | 
|  Agregue permisos a [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | La política de IAM administrada AmazonECSServiceRolePolicy se actualizó para incluir el permiso ssmmessages:OpenDataChannel. Con este permiso, Amazon ECS puede abrir canales de datos para las sesiones de ECS Exec. | 20 de enero de 2026 | 
|   Actualización de la política `AmazonECSInfrastructureRolePolicyForManagedInstances`   |  Se actualizó la política `AmazonECSInfrastructureRolePolicyForManagedInstances` para modificar los permisos `CreateFleet`. Se eliminaron las condiciones basadas en recursos para las subredes, los grupos de seguridad y las imágenes de EC2 debido a lo siguiente: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/AmazonECS/latest/developerguide/security-iam-awsmanpol.html) Este cambio garantiza que la política funcione correctamente con recursos que carecen de las etiquetas de administración de ECS esperadas.   | 15 de diciembre de 2025 | 
|  Agregue permisos a [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | La política de IAM AmazonECSServiceRolePolicy administrada se actualizó con nuevos permisos de Amazon EC2 que permiten a Amazon ECS obtener ventanas de eventos de Amazon EC2 para los servicios y clústeres asociados a las ventanas de eventos. | 20 de noviembre de 2025 | 
|  Agregue permisos a [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | La política de IAM AmazonECSServiceRolePolicy administrada se actualizó con nuevos permisos de Amazon EC2 que permiten a Amazon ECS aprovisionar y desaprovisionar la ENI de tareas. | 14 de noviembre de 2025 | 
|  Actualización de la política [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity)   | Se actualizó la política de IAM AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity administrada para separar el permiso secretsmanager:DescribeSecret en su propia instrucción de política. El permiso sigue limitando el acceso de Amazon ECS exclusivamente a los secretos creados por Amazon ECS y utiliza la coincidencia de patrones de ARN en lugar de etiquetas de recursos para determinar el alcance. Esto permite a Amazon ECS supervisar el estado del secreto durante todo su ciclo de vida, incluso cuando se ha eliminado un secreto. | 13 de noviembre de 2025 | 
|  Adición de una nueva política [`AmazonECSInfrastructureRoleforExpressGatewayServices`](#security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices)  | Se agregó la nueva política AmazonECSInfrastructureRoleforExpressGatewayServices que proporciona acceso a Amazon ECS para crear y administrar aplicaciones web mediante servicios exprés. | 21 de noviembre de 2025 | 
|  Adición de una nueva política [`AmazonECSInstanceRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances)  | Se agregó la nueva política AmazonECSInstanceRolePolicyForManagedInstances que proporciona permisos para que las instancias de instancias administradas de Amazon ECS se registren en los clústeres de Amazon ECS. | 30 de septiembre de 2025 | 
|  Adición de una nueva política [`AmazonECSInfrastructureRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances)  | Se agregó la nueva política AmazonECSInfrastructureRolePolicyForManagedInstances que proporciona acceso a Amazon ECS para crear y administrar recursos administrados de Amazon EC2. | 30 de septiembre de 2025 | 
|  Adición de la nueva política [AmazonECSComputeServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy)  | Permite que Amazon ECS administre instancias administradas de Amazon ECS y los recursos relacionados. | 31 de agosto de 2025 | 
|  Adición de permisos a [AmazonEC2ContainerServiceforEC2Role](#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role)   | La política de IAM administrada AmazonEC2ContainerServiceforEC2Role se actualizó para incluir el permiso ecs:ListTagsForResource. Este permiso permite al agente de Amazon ECS recuperar las etiquetas de tareas y de instancias de contenedores a través del punto de conexión de metadatos de la tarea (\$1\$1ECS\$1CONTAINER\$1METADATA\$1URI\$1V4\$1/taskWithTags). | 4 de agosto de 2025 | 
|  Agregue permisos a [AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers).  | La política de IAM administrada AmazonECSInfrastructureRolePolicyForLoadBalancers se actualizó con nuevos permisos para describir los grupos de destino, registrarlos y anular su registro. | 25 de julio de 2025 | 
|  Adición de la nueva política [`AmazonECSInfrastructureRolePolicyForLoadBalancers`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers)  |  Se agregó la nueva política AmazonECSInfrastructureRolePolicyForLoadBalancers, que proporciona acceso a otros recursos de servicio de AWS necesarios para administrar los equilibradores de carga asociados a las cargas de trabajo de Amazon ECS.  | 15 de julio de 2025 | 
|  Agregue permisos a [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | La política de IAM administrada AmazonECSServiceRolePolicy se actualizó con nuevos permisos AWS Cloud Map que permiten a Amazon ECS actualizar los atributos de los servicios de AWS Cloud Map que administra Amazon ECS. | 15 de julio de 2025 | 
|  Agregar permisos a [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)  | La política de IAM administrada AmazonECSServiceRolePolicy se actualizó con nuevos permisos AWS Cloud Map que permiten a Amazon ECS actualizar los atributos de los servicios de AWS Cloud Map que administra Amazon ECS. | 24 de junio de 2025 | 
|  Adición de permisos a [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | Se actualizó la política AmazonECSInfrastructureRolePolicyForVolumes para agregar el permiso ec2:DescribeInstances. El permiso ayuda a prevenir la colisión de nombres de dispositivos para volúmenes de Amazon EBS que están asociados a tareas de Amazon ECS que se ejecutan en la misma instancia de contenedor. | 2 de junio de 2025 | 
|  Adición de una nueva política [AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice)  | Proporciona acceso a otros recursos de servicio de AWS necesarios para administrar en su nombre la característica de VPC Lattice en las cargas de trabajo de Amazon ECS. | 18 de noviembre de 2024 | 
|  Adición de permisos a [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | La política AmazonECSInfrastructureRolePolicyForVolumes se ha actualizado para permitir a los clientes crear un volumen de Amazon EBS a partir de una instantánea. | 10 de octubre de 2024 | 
|  Permisos agregados de [AmazonECS\$1FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess).  |  La política AmazonECS\$1FullAccess se actualizó para añadir permisos iam:PassRole para los roles de IAM para una función denominada ecsInfrastructureRole. Este es el rol de IAM predeterminado que crea Consola de administración de AWS destinado a usarse como un rol de infraestructura de ECS que permite a Amazon ECS administrar los volúmenes de Amazon EBS adjuntos a las tareas de ECS. | 13 de agosto de 2024 | 
|  Adición de la nueva política [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity)  |  Se agregó la nueva política AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity, que proporciona acceso administrativo a AWS KMS, AWS Private Certificate Authority y Secrets Manager y permite que las características de la TLS de Amazon ECS Service Connect funcionen correctamente.  | 22 de enero de 2024 | 
|  Adición de la nueva política [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | Se agregó la política AmazonECSInfrastructureRolePolicyForVolumes. La política concede los permisos que Amazon ECS necesita para hacer llamadas a la API de AWS con el fin de administrar los volúmenes de Amazon EBS asociados a las cargas de trabajo de Amazon ECS. | 11 de enero de 2024 | 
|  Agregar permisos a [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)  | La política de IAM administrada AmazonECSServiceRolePolicy se actualizó con los nuevos permisos events y los permisos adicionales autoscaling y autoscaling-plans. | 4 de diciembre de 2023 | 
|  Adición de permisos a [AmazonEC2ContainerServiceEventsRole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole)  | La política de IAM administrada AmazonECSServiceRolePolicy se actualizó para permitir el acceso a la operación de la API de AWS Cloud Map DiscoverInstancesRevision. | 4 de octubre de 2023 | 
|  Agregar permisos a [AmazonEC2ContainerServiceforEC2Role](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role)  | La política AmazonEC2ContainerServiceforEC2Role se modificó para agregar el permiso ecs:TagResource, que incluye una condición que limita el permiso solo a clústeres recién creados e instancias de contenedor registradas. | 6 de marzo de 2023 | 
|  Agregar permisos a [AmazonECS\$1FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess)  | La política AmazonECS\$1FullAccess se modificó para agregar el permiso elasticloadbalancing:AddTags, que incluye una condición que limita el permiso solo a equilibradores de carga, grupos de destino, reglas y oyentes recién creados. Este permiso no permite agregar etiquetas a ningún recurso de Elastic Load Balancing ya creado. | 4 de enero de 2023 | 
|  Amazon ECS comenzó a realizar el seguimiento de los cambios  |  Amazon ECS comenzó a realizar el seguimiento de los cambios de las políticas administradas por AWS.  | 8 de junio de 2021 | 

# Eliminación gradual de las políticas de IAM administradas de AWS para Amazon Elastic Container Service
<a name="security-iam-awsmanpol-deprecated-policies"></a>

Las siguientes políticas de IAM administradas por AWS se eliminaron gradualmente. Estas políticas ahora se sustituyen por las políticas actualizadas. Se recomienda actualizar los usuarios o roles para utilizar las políticas actualizadas.

## AmazonEC2ContainerServiceFullAccess
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceFullAccess"></a>

**importante**  
La política de IAM administrada por `AmazonEC2ContainerServiceFullAccess` se eliminó gradualmente a partir del 29 de enero de 2021, en respuesta a un problema de seguridad detectado en el permiso `iam:passRole`. Este permiso concede acceso a todos los recursos, incluso a las credenciales de los roles de la cuenta. Ahora que la política se eliminó gradualmente, no la puede asociar a ningún nuevo usuario o rol. Cualquier usuario o rol que ya tenga asociada la política puede continuar utilizándola. No obstante, es aconsejable que actualice sus usuarios o roles para que utilicen la política administrada `AmazonECS_FullAccess`. Para obtener más información, consulte [Migración a la política administrada `AmazonECS_FullAccess`](security-iam-awsmanpol-amazonecs-full-access-migration.md).

## AmazonEC2ContainerServiceRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceRole"></a>

**importante**  
La política de IAM administrada `AmazonEC2ContainerServiceRole` se eliminó gradualmente. Ahora se sustituye por el rol vinculado al servicio de Amazon ECS. Para obtener más información, consulte [Uso de roles vinculados al servicio para Amazon ECS](using-service-linked-roles.md).

## AmazonEC2ContainerServiceAutoscaleRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceAutoscaleRole"></a>

**importante**  
La política de IAM administrada `AmazonEC2ContainerServiceAutoscaleRole` se eliminó gradualmente. Ahora se sustituye por el rol vinculado al servicio Application Auto Scaling de Amazon ECS. Para obtener más información, consulte [Roles vinculados a servicios de Application Auto Scaling](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) en la *Guía del usuario de Application Auto Scaling*.

# Migración a la política administrada `AmazonECS_FullAccess`
<a name="security-iam-awsmanpol-amazonecs-full-access-migration"></a>

La política de IAM administrada `AmazonEC2ContainerServiceFullAccess` se eliminó gradualmente el 29 de enero de 2021, en respuesta a un problema de seguridad detectado en el permiso `iam:passRole`. Este permiso concede acceso a todos los recursos, incluso a las credenciales de los roles de la cuenta. Ahora que la política se eliminó gradualmente, no la puede asociar a grupos, usuarios o roles nuevos. Todos los grupos, usuarios o roles que ya tengan asociada la política, pueden continuar utilizándola. No obstante, es aconsejable que actualice sus grupos, usuarios o roles para que utilicen la política administrada `AmazonECS_FullAccess`.

Los permisos que concede la política `AmazonECS_FullAccess` incluye la lista completa de permisos necesarios para utilizar ECS como administrador. Si actualmente utiliza permisos concedidos por la política `AmazonEC2ContainerServiceFullAccess` que no están en la política `AmazonECS_FullAccess`, puede agregarlos a una instrucción de política en línea. Para obtener más información, consulte [AWSPolíticas administradas por para Amazon Elastic Container Service](security-iam-awsmanpol.md).

Siga estos pasos para determinar si tiene grupos, usuarios o roles que actualmente estén utilizando la política de IAM administrada `AmazonEC2ContainerServiceFullAccess`. A continuación, actualícelos para separar desasociar la política anterior y asociar la `AmazonECS_FullAccess`.

**Para actualizar un grupo, usuario o rol a fin de que utilice la política AmazonECS\$1FullAccess (Consola de administración de AWS)**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Policies** (Políticas) y busque y seleccione la política `AmazonEC2ContainerServiceFullAccess`.

1. Elija la pestaña **Policy usage** (Uso de políticas) que muestre cualquier rol de IAM que actualmente esté utilizando esta política.

1. Para cada rol de IAM que actualmente esté utilizando la política `AmazonEC2ContainerServiceFullAccess`, seleccione el rol y siga estos pasos para desasociar la política obsoleta y adjuntar la política `AmazonECS_FullAccess`.

   1. En la página **Permissions** (Permisos), elija la **X** junto a la política **AmazonEC2ContainerServiceFullAccess**.

   1. Elija **Añadir permisos**.

   1. Elija **Attach existing policies directly** (Asociar políticas existentes directamente), busque y seleccione la política **AmazonECS\$1FullAccess** y, a continuación, elija **Next: Review** (Siguiente: Revisar).

   1. Revise los cambios y, luego, seleccione **Add permissions** (Agregar permisos).

   1. Repita estos pasos para cada grupo, usuario o rol que utilice la política `AmazonEC2ContainerServiceFullAccess`.

**Para actualizar un grupo, usuario o rol a fin de que utilice la política `AmazonECS_FullAccess` (AWS CLI)**

1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html) para generar un informe que incluya detalles sobre cuándo se usó la política obsoleta por última vez.

   ```
   aws iam generate-service-last-accessed-details \
        --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess
   ```

   Ejemplo de código de salida:

   ```
   {
       "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
   }
   ```

1. Utilice el ID de trabajo del resultado anterior con el comando [https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html) para recuperar el último informe del servicio al que se accedió. Este informe muestra el nombre de recurso de Amazon (ARN) de las entidades de IAM que usaron la política obsoleta por última vez.

   ```
   aws iam get-service-last-accessed-details \
         --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
   ```

1. Utilice uno de los siguientes comandos para desasociar la política `AmazonEC2ContainerServiceFullAccess` de un grupo, usuario o rol.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)

1. Utilice uno de los siguientes comandos para asociar la política `AmazonECS_FullAccess` a un grupo, usuario o rol.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)