Migration vers la stratégie gérée AmazonECS_FullAccess - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Migration vers la stratégie gérée AmazonECS_FullAccess

La stratégie IAM gérée AmazonEC2ContainerServiceFullAccess a été progressivement abandonnée à compter du 29 janvier 2021, en réponse à la constatation d'un problème de sécurité lié à l'autorisation iam:passRole. Cette autorisation autorise l'accès à toutes les ressources, y compris les informations d'identification aux rôles du compte. La politique étant progressivement abandonnée, vous ne pouvez pas attacher la politique à de nouveaux groupes, utilisateurs ou rôles. Tous les groupes, utilisateurs ou rôles auxquels la stratégie est déjà attachée peuvent continuer à l'utiliser. Toutefois, nous vous recommandons de mettre à jour vos groupes, utilisateurs ou rôles afin d'utiliser la politique gérée par AmazonECS_FullAccess à la place.

Les autorisations accordées par la politique AmazonECS_FullAccess incluent la liste complète des autorisations nécessaires pour utiliser ECS en tant qu'administrateur. Si vous utilisez actuellement des autorisations octroyées par la politique AmazonEC2ContainerServiceFullAccess qui ne sont pas dans la politique AmazonECS_FullAccess, vous pouvez les ajouter à une instruction de politique en ligne. Pour de plus amples informations, veuillez consulter AWS politiques gérées pour Amazon Elastic Container Service.

Procédez comme suit pour déterminer si vous disposez de groupes, d'utilisateurs ou de rôles qui utilisent actuellement la politique IAM gérée par AmazonEC2ContainerServiceFullAccess. Ensuite, mettez-les à jour pour détacher la stratégie précédente et attachez la stratégie AmazonECS_FullAccess.

Pour mettre à jour un groupe, un utilisateur ou un rôle afin d'utiliser la politique AmazonECS_ FullAccess ()AWS Management Console

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Policies (Stratégies) et recherchez et sélectionnez la stratégie AmazonEC2ContainerServiceFullAccess.

  3. Cliquez sur l'onglet Policy usage (Utilisation de la stratégie) qui affiche tout rôle IAM qui utilise actuellement cette stratégie.

  4. Pour chaque rôle IAM qui utilise actuellement la politique AmazonEC2ContainerServiceFullAccess, sélectionnez le rôle et procédez comme suit pour détacher la politique supprimée et joindre la politique AmazonECS_FullAccess.

    1. Dans l'onglet Autorisations, choisissez le X à côté de la EC2 ContainerServiceFullAccess politique Amazon.

    2. Choisissez Ajouter des autorisations.

    3. Choisissez Joindre directement les politiques existantes, recherchez et sélectionnez la FullAccess politique AmazonECS_, puis choisissez Next : Review.

    4. Vérifiez vos modifications et choisissez Add permissions (Ajouter des autorisations).

    5. Répétez ces étapes pour chaque groupe, utilisateur ou rôle qui utilise la politique AmazonEC2ContainerServiceFullAccess.

Pour mettre à jour un groupe, un utilisateur ou un rôle afin d'utiliser la politique AmazonECS_FullAccess (AWS CLI)

  1. Utilisez la commande generate-service-last-accessed-details pour générer un rapport qui inclut des détails sur la date à laquelle la politique supprimée a été utilisée pour la dernière fois.

    aws iam generate-service-last-accessed-details \
     --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    Exemple de sortie :

    {
    "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
}

  2. Utilisez l’ID de tâche indiqué dans la sortie précédente avec la commande get-service-last-accessed-details pour récupérer le dernier rapport consulté du service. Ce rapport affiche l’Amazon Resource Name (ARN) des entités IAM ayant utilisé la politique supprimée pour la dernière fois.

    aws iam get-service-last-accessed-details \
      --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE

  3. Utilisez l'une des commandes suivantes pour détacher la politique AmazonEC2ContainerServiceFullAccess d'un groupe, d'un utilisateur ou d'un rôle.

  4. Utilisez l'une des commandes suivantes pour attacher la politique AmazonECS_FullAccess à un groupe, un utilisateur ou un rôle.