Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin diperlukan untuk konsol Amazon ECS
Mengikuti praktik terbaik pemberian hak istimewa paling rendah, Anda dapat menggunakan kebijakan terkelola AmazonECS_FullAccess sebagai templat untuk membuat kebijakan kustom Anda sendiri. Dengan begitu, Anda dapat mengambil atau menambahkan izin ke dan dari kebijakan terkelola berdasarkan kebutuhan khusus Anda. Untuk informasi selengkapnya, lihat AmazonECS_ FullAccess di Referensi Kebijakan Terkelola.AWS
Izin untuk membuat peran IAM
Tindakan berikut memerlukan izin tambahan untuk menyelesaikan operasi:
-
Mendaftarkan instance eksternal - untuk informasi selengkapnya, lihat Peran IAM Amazon ECS Anywhere
-
Mendaftarkan definisi tugas - untuk informasi lebih lanjut, lihat Peran IAM eksekusi tugas Amazon ECS
-
Membuat EventBridge aturan yang akan digunakan untuk menjadwalkan tugas - untuk informasi selengkapnya, lihat Peran Amazon ECS EventBridge IAM
Anda dapat menambahkan izin ini dengan membuat peran di IAM sebelum menggunakannya di konsol Amazon ECS. Jika Anda tidak membuat peran, konsol Amazon ECS akan membuatnya atas nama Anda.
Izin yang diperlukan untuk mendaftarkan instance eksternal ke cluster
Anda memerlukan izin tambahan saat mendaftarkan instance eksternal ke klaster dan Anda ingin membuat peran instance eksternal (ecsExternalInstanceRole) baru.
Izin tambahan berikut diperlukan:
-
iam— Memungkinkan kepala sekolah untuk membuat dan membuat daftar peran IAM dan kebijakan terlampir mereka. -
ssm— Memungkinkan prinsipal untuk mendaftarkan instance eksternal dengan Systems Manager.
catatan
Untuk memilih yang sudah adaecsExternalInstanceRole, Anda harus memiliki iam:GetRole dan iam:PassRole izin.
Kebijakan berikut berisi izin yang diperlukan, dan membatasi tindakan untuk ecsExternalInstanceRole peran.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" } ] }
Izin yang diperlukan untuk mendaftarkan definisi tugas
Anda memerlukan izin tambahan saat mendaftarkan definisi tugas dan Anda ingin membuat peran eksekusi tugas (ecsTaskExecutionRole) baru.
Izin tambahan berikut diperlukan:
-
iam— Memungkinkan kepala sekolah untuk membuat dan membuat daftar peran IAM dan kebijakan terlampir mereka.
catatan
Untuk memilih yang sudah adaecsTaskExecutionRole, Anda harus memiliki iam:GetRole izin.
Kebijakan berikut berisi izin yang diperlukan, dan membatasi tindakan untuk ecsTaskExecutionRole peran.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
Izin diperlukan untuk membuat EventBridge aturan untuk tugas terjadwal
Anda memerlukan izin tambahan saat menjadwalkan tugas dan Anda ingin membuat peran peran (ecsEventsRole) CloudWatch Acara baru.
Izin tambahan berikut diperlukan:
-
iam— Memungkinkan kepala sekolah untuk membuat dan mencantumkan peran IAM dan kebijakan terlampirnya, dan mengizinkan Amazon ECS meneruskan peran tersebut ke layanan lain untuk mengambil peran tersebut.
catatan
Untuk memilih yang sudah adaecsEventsRole, Anda harus memiliki iam:GetRole dan iam:PassRole izin.
Kebijakan berikut berisi izin yang diperlukan, dan membatasi tindakan untuk ecsEventsRole peran.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
Izin yang diperlukan untuk melihat penerapan layanan
Saat Anda mengikuti praktik terbaik pemberian hak istimewa paling sedikit, Anda perlu menambahkan izin tambahan untuk melihat penerapan layanan di konsol.
Anda memerlukan akses ke tindakan berikut:
ListServiceDeployments
DescribeServiceDeployments
DescribeServiceRevisions
Anda memerlukan akses ke sumber daya berikut:
Layanan
Penyebaran layanan
Revisi layanan
Kebijakan contoh berikut berisi izin yang diperlukan, dan membatasi tindakan ke layanan tertentu.
Gantiaccount,cluster-name, dan service-name dengan nilai-nilai Anda.
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ListServiceDeployments", "ecs:DescribeServiceDeployments", "ecs:DescribeServiceRevisions" ], "Resource": [ "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name", "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*", "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*" ] } ] }
Izin diperlukan untuk melihat peristiwa siklus hidup Amazon ECS di Wawasan Kontainer
Izin berikut diperlukan untuk melihat peristiwa siklus hidup. Tambahkan izin berikut sebagai kebijakan sebaris ke peran. Untuk informasi selengkapnya, lihat Menambahkan dan Menghapus Kebijakan IAM.
-
peristiwa: DescribeRule
-
peristiwa: ListTargetsByRule
-
log: DescribeLogGroups
Izin diperlukan untuk mengaktifkan peristiwa siklus hidup Amazon ECS dalam Container Insights
Izin berikut diperlukan untuk mengonfigurasi peristiwa siklus hidup:
-
peristiwa: PutRule
-
peristiwa: PutTargets
-
log: CreateLogGroup
