Autorisations requises pour la console Amazon ECS
Conformément à la bonne pratique pour accorder le moindre privilège, vous pouvez utiliser la stratégie gérée par AmazonECS_FullAccess comme modèle pour créer votre propre stratégie personnalisée. De cette façon, vous pouvez supprimer ou ajouter des autorisations pour la stratégie gérée en fonction de vos besoins spécifiques. Pour afficher les autorisations pour cette politique, consultez la section AmazonECS_FullAccess dans la Référence de politique gérée par AWS.
Autorisations pour créer des rôles IAM
Les actions suivantes nécessitent des autorisations supplémentaires pour terminer l'opération :
-
Enregistrement d'une instance externe : pour plus d'informations, veuillez consulter Rôle IAM Amazon ECS Anywhere.
-
Enregistrement d'une définition de tâche : pour plus d'informations, veuillez consulter Rôle IAM d'exécution de tâche Amazon ECS.
-
Création d'une règle EventBridge à utiliser pour les tâches de planification : pour plus d'informations, veuillez consulter Rôle IAM Amazon ECS EventBridge.
Vous pouvez ajouter ces autorisations en créant un rôle dans IAM avant de les utiliser dans la console Amazon ECS. Si vous ne créez pas les rôles, la console Amazon ECS les crée en votre nom.
Autorisations requises pour enregistrer une instance externe dans un cluster
Vous avez besoin d'autorisations supplémentaires lorsque vous enregistrez une instance externe dans un cluster et que vous souhaitez créer un nouveau rôle d'instance externe (ecsExternalInstanceRole).
Les autorisations supplémentaires suivantes sont requises :
-
iam: permet aux principaux de créer et répertorier les rôles IAM et les politiques qui leur sont attachées.-
iam:AttachRolePolicy
-
iam:CreateRole
-
am:CreateInstanceProfile
-
iam:AddRoleToInstanceProfile
-
iam:ListInstanceProfilesForRole
-
iam:GetRole
-
-
ssm: permet aux principaux d'enregistrer l'instance externe auprès de Systems Manager.
Note
Pour choisir un ecsExternalInstanceRole existant, vous devez disposer des autorisations iam:GetRole et iam:PassRole.
La politique suivante contient les autorisations requises et limite les actions au rôle ecsExternalInstanceRole.
Autorisations requises pour enregistrer une définition de tâche
Vous avez besoin d'autorisations supplémentaires lorsque vous enregistrez une définition de tâche et que vous souhaitez créer un nouveau rôle d'exécution de tâche (ecsTaskExecutionRole).
Les autorisations supplémentaires suivantes sont requises :
-
iam: permet aux principaux de créer et répertorier les rôles IAM et les politiques qui leur sont attachées.-
iam:AttachRolePolicy
-
iam:CreateRole
-
iam:GetRole
-
Note
Pour choisir un ecsTaskExecutionRole existant, vous devez disposer de l'autorisation iam:GetRole.
La politique suivante contient les autorisations requises et limite les actions au rôle ecsTaskExecutionRole.
Autorisations requises pour utiliser Amazon Q Developer afin de fournir des recommandations dans la console
Pour qu’Amazon Q Developer puisse formuler des recommandations dans la console ECS, vous devez activer les autorisations IAM adéquates pour votre rôle ou utilisateur IAM. Vous devez ajouter l’autorisation codewhisperer:GenerateRecommendations.
Pour utiliser le chat en ligne dans la console Amazon ECS, vous devez activer les autorisations IAM adéquates pour votre rôle ou utilisateur IAM. Vous devez ajouter l’autorisation q:SendMessage :
Autorisations requises pour la création d’une règle EventBridge pour les tâches planifiées
Vous avez besoin d'autorisations supplémentaires lorsque vous planifiez une tâche et que vous souhaitez créer un nouveau rôle CloudWatch Events (ecsEventsRole).
Les autorisations supplémentaires suivantes sont requises :
-
iam: permet aux principaux de créer et de répertorier les rôles IAM et les politiques qui leur sont associées, et d'autoriser Amazon ECS à transmettre le rôle à d'autres services pour qu'ils l'endossent.
Note
Pour choisir un ecsEventsRole existant, vous devez disposer des autorisations iam:GetRole et iam:PassRole.
La politique suivante contient les autorisations requises et limite les actions au rôle ecsEventsRole.
Autorisations nécessaires pour l’affichage des déploiements de service
Lorsque vous suivez la pratique exemplaire consistant à octroyer le moindre privilège, vous devez ajouter des autorisations supplémentaires afin de visualiser les déploiements de service dans la console.
Vous devez avoir accès aux actions suivantes :
ListServiceDeployments
DescribeServiceDeployments
DescribeServiceRevisions
Vous devez avoir accès aux ressources suivantes :
Service
Déploiements de service
Révision de service
L’exemple de politique suivant contient les autorisations requises et limite les actions à un service spécifié.
Remplacez account, cluster-name et service-name par vos propres valeurs.
Autorisations requises pour afficher les événements du cycle de vie Amazon ECS dans Container Insights
Les autorisations suivantes sont requises pour afficher les événements du cycle de vie. Ajoutez les autorisations suivantes sous forme de politique en ligne au rôle. Pour plus d’informations, consultez la section Ajout et suppression de politiques IAM.
-
events:DescribeRule
-
events:ListTargetsByRule
-
logs:DescribeLogGroups
Autorisations requises pour l’affichage des événements du cycle de vie Amazon ECS dans Container Insights
Les autorisations suivantes sont requises pour configurer les événements du cycle de vie :
-
events:PutRule
-
events:PutTargets
-
logs:CreateLogGroup
