Migration vers la stratégie gérée AmazonECS_FullAccess - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Migration vers la stratégie gérée AmazonECS_FullAccess

La stratégie IAM gérée AmazonEC2ContainerServiceFullAccess a été progressivement abandonnée à compter du 29 janvier 2021, en réponse à la constatation d'un problème de sécurité lié à l'autorisation iam:passRole. Cette autorisation autorise l'accès à toutes les ressources, y compris les informations d'identification aux rôles du compte. La politique étant progressivement abandonnée, vous ne pouvez pas attacher la politique à de nouveaux groupes, utilisateurs ou rôles. Tous les groupes, utilisateurs ou rôles auxquels la stratégie est déjà attachée peuvent continuer à l'utiliser. Toutefois, nous vous recommandons de mettre à jour vos groupes, utilisateurs ou rôles afin d'utiliser la politique gérée par AmazonECS_FullAccess à la place.

Les autorisations accordées par la politique AmazonECS_FullAccess incluent la liste complète des autorisations nécessaires pour utiliser ECS en tant qu'administrateur. Si vous utilisez actuellement des autorisations accordées par la AmazonEC2ContainerServiceFullAccess politique qui ne figurent pas dans la AmazonECS_FullAccess politique, vous pouvez les ajouter à une déclaration de politique intégrée. Pour de plus amples informations, veuillez consulter AWS politiques gérées pour Amazon Elastic Container Service.

Procédez comme suit pour déterminer si vous disposez de groupes, d'utilisateurs ou de rôles qui utilisent actuellement la politique IAM gérée par AmazonEC2ContainerServiceFullAccess. Ensuite, mettez-les à jour pour détacher la stratégie précédente et attachez la stratégie AmazonECS_FullAccess.

Pour mettre à jour un groupe, un utilisateur ou un rôle afin d'utiliser la politique AmazonECS_ FullAccess ()AWS Management Console

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Policies (Stratégies) et recherchez et sélectionnez la stratégie AmazonEC2ContainerServiceFullAccess.

  3. Cliquez sur l'onglet Policy usage (Utilisation de la stratégie) qui affiche tout rôle IAM qui utilise actuellement cette stratégie.

  4. Pour chaque rôle IAM qui utilise actuellement la AmazonEC2ContainerServiceFullAccess stratégie, sélectionnez le rôle et suivez les étapes suivantes pour détacher la stratégie progressivement supprimée et l'associer. AmazonECS_FullAccess

    1. Dans l'onglet Autorisations, choisissez le X à côté de la EC2 ContainerServiceFullAccess politique Amazon.

    2. Choisissez Add permissions (Ajouter des autorisations).

    3. Choisissez Joindre directement les politiques existantes, recherchez et sélectionnez la FullAccess politique AmazonECS_, puis choisissez Next : Review.

    4. Vérifiez vos modifications et choisissez Add permissions (Ajouter des autorisations).

    5. Répétez ces étapes pour chaque groupe, utilisateur ou rôle qui utilise la politique AmazonEC2ContainerServiceFullAccess.

Pour mettre à jour un groupe, un utilisateur ou un rôle afin d'utiliser la politique AmazonECS_FullAccess (AWS CLI)

  1. Utilisez la generate-service-last-accessed-detailscommande pour générer un rapport contenant des informations détaillées sur la date à laquelle la politique d'élimination progressive a été utilisée pour la dernière fois.

    aws iam generate-service-last-accessed-details \
     --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    Exemple de sortie :

    {
    "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
}

  2. Utilisez l'ID de tâche de la sortie précédente avec la get-service-last-accessed-detailscommande pour récupérer le dernier rapport consulté du service. Ce rapport affiche le nom de ressource Amazon (ARN) des entités IAM qui ont utilisé la politique de suppression progressive pour la dernière fois.

    aws iam get-service-last-accessed-details \
      --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE

  3. Utilisez l'une des commandes suivantes pour détacher la politique AmazonEC2ContainerServiceFullAccess d'un groupe, d'un utilisateur ou d'un rôle.

  4. Utilisez l'une des commandes suivantes pour attacher la politique AmazonECS_FullAccess à un groupe, un utilisateur ou un rôle.