Amazonecs_ FullAccess Amazon ECSInfrastructure RolePolicyForVolumes EC2ContainerServiceforEC2Peran Amazon Amazon EC2 ContainerServiceEventsRole Amazon ECSTask ExecutionRolePolicy Amazon ECSService RolePolicy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity AWSApplicationAutoscalingECSServicePolicy AWSCodeDeployRoleForECS AWSCodeDeployRoleForECSLimited AmazonECSInfrastructureRolePolicyForVpcLattice Pembaruan kebijakan

AWS kebijakan terkelola untuk Amazon Elastic Container Service

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

Amazon ECS dan Amazon ECR menyediakan beberapa kebijakan terkelola dan hubungan kepercayaan yang dapat Anda lampirkan ke pengguna, grup, peran, EC2 instans Amazon, dan tugas Amazon ECS yang memungkinkan berbagai tingkat kontrol atas sumber daya dan operasi API. Anda dapat menerapkan kebijakan ini secara langsung atau menggunakannya sebagai titik awal untuk membuat kebijakan Anda sendiri. Untuk informasi selengkapnya tentang kebijakan terkelola Amazon ECR, lihat kebijakan yang dikelola Amazon ECR.

Amazonecs_ FullAccess

Anda dapat melampirkan kebijakan AmazonECS_FullAccess ke identitas IAM Anda. Kebijakan ini memberikan akses administratif ke sumber daya Amazon ECS dan memberikan identitas IAM (seperti pengguna, grup, atau peran) akses ke layanan AWS yang terintegrasi dengan Amazon ECS untuk menggunakan semua fitur Amazon ECS. Menggunakan kebijakan ini memungkinkan akses ke semua fitur Amazon ECS yang tersedia di. AWS Management Console

Untuk melihat izin kebijakan ini, lihat AmazonECS_ FullAccess di Referensi Kebijakan Terkelola.AWS

Amazon ECSInfrastructure RolePolicyForVolumes

Anda dapat melampirkan kebijakan AmazonECSInfrastructureRolePolicyForVolumes terkelola ke entitas IAM Anda.

Kebijakan ini memberikan izin yang diperlukan oleh Amazon ECS untuk melakukan panggilan AWS API atas nama Anda. Anda dapat melampirkan kebijakan ini ke peran IAM yang Anda berikan dengan konfigurasi volume saat meluncurkan tugas dan layanan Amazon ECS. Peran ini memungkinkan Amazon ECS untuk mengelola volume yang melekat pada tugas Anda. Untuk informasi selengkapnya, lihat peran IAM infrastruktur Amazon ECS.

Untuk melihat izin kebijakan ini, lihat Amazon ECSInfrastructure RolePolicyForVolumes di Referensi Kebijakan AWS Terkelola.

EC2ContainerServiceforEC2Peran Amazon

Anda dapat melampirkan kebijakan AmazonEC2ContainerServiceforEC2Role ke identitas IAM Anda. Kebijakan ini memberikan izin administratif yang memungkinkan instans penampung Amazon ECS melakukan panggilan atas nama Anda. AWS Untuk informasi selengkapnya, lihat Peran IAM instance wadah Amazon ECS.

Amazon ECS melampirkan kebijakan ini ke peran layanan yang memungkinkan Amazon ECS melakukan tindakan atas nama Anda terhadap EC2 instans Amazon atau instans eksternal.

Untuk melihat izin kebijakan ini, lihat EC2ContainerServiceforEC2Peran Amazon di Referensi Kebijakan AWS Terkelola.

Pertimbangan

Anda harus mempertimbangkan rekomendasi dan pertimbangan berikut saat menggunakan kebijakan IAM AmazonEC2ContainerServiceforEC2Role terkelola.

Dengan mengikuti saran keamanan standar pemberian hak istimewa paling rendah, Anda dapat memodifikasi kebijakan terkelola AmazonEC2ContainerServiceforEC2Role agar sesuai dengan kebutuhan spesifik Anda. Jika salah satu izin yang diberikan dalam kebijakan terkelola tidak diperlukan untuk kasus penggunaan Anda, buat kebijakan kustom dan hanya tambahkan izin yang Anda perlukan. Misalnya, UpdateContainerInstancesState izin diberikan untuk pengeringan Instans Spot. Jika izin tersebut tidak diperlukan untuk kasus penggunaan Anda, izin tersebut dapat dikecualikan dengan menggunakan kebijakan kustom.
Kontainer yang berjalan pada instans kontainer Anda memiliki akses ke semua izin yang disediakan untuk peran instans kontainer melalui Metadata instans. Kami merekomendasikan Anda untuk membatasi izin dalam peran instans kontainer Anda agar hanya menyediakan izin minimal di kebijakan AmazonEC2ContainerServiceforEC2Role terkelola. Jika kontainer dalam tugas Anda memerlukan izin tambahan yang tidak terdaftar, sebaiknya berikan tugas tersebut dengan peran IAM mereka sendiri. Untuk informasi selengkapnya, lihat Peran IAM tugas Amazon ECS.

Kontainer pada jembatan docker0 dapat dicegah untuk tidak mengakses izin yang disediakan untuk peran instans kontainer.. Tindakan ini masih bisa dilakukan bersamaan dengan berlakunya izin yang diberikan Peran IAM tugas Amazon ECS dengan menjalankan perintah iptables pada instans kontainer Anda. Kontainer tidak dapat melakukan kueri terhadap metadata instans saat aturan ini berlaku. Perintah ini mengasumsikan konfigurasi jembatan Docker default dan tidak bekerja dengan kontainer yang menerapkan mode jaringan host. Untuk informasi selengkapnya, lihat Mode jaringan.
```
sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
```
Anda harus menyimpan aturan iptables ini pada instans kontainer Anda untuk itu untuk bertahan saat booting ulang. Untuk AMI Amazon ECS yang dioptimalkan, gunakan perintah berikut. Untuk sistem operasi lain, konsultasikan dokumentasi untuk OS tersebut.
- Untuk Amazon ECS yang dioptimalkan Amazon Linux 2 AMI:
```
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
```
- Untuk Amazon ECS yang dioptimalkan Amazon Linux AMI:
```
sudo service iptables save
```

Amazon EC2 ContainerServiceEventsRole

Anda dapat melampirkan kebijakan AmazonEC2ContainerServiceEventsRole ke identitas IAM Anda. Kebijakan ini memberikan izin yang memungkinkan Amazon EventBridge (sebelumnya CloudWatch Acara) menjalankan tugas atas nama Anda. Kebijakan ini dapat dilampirkan ke peran IAM yang ditentukan saat Anda membuat tugas terjadwal. Untuk informasi selengkapnya, lihat Peran Amazon ECS EventBridge IAM.

Untuk melihat izin kebijakan ini, lihat Amazon EC2 ContainerServiceEventsRole di Referensi Kebijakan AWS Terkelola.

Amazon ECSTask ExecutionRolePolicy

Kebijakan IAM AmazonECSTaskExecutionRolePolicy terkelola memberikan izin yang diperlukan oleh agen kontainer Amazon ECS dan AWS Fargate agen kontainer untuk melakukan panggilan AWS API atas nama Anda. Kebijakan ini dapat ditambahkan ke peran IAM eksekusi tugas Anda. Untuk informasi selengkapnya, lihat Peran IAM eksekusi tugas Amazon ECS.

Untuk melihat izin kebijakan ini, lihat Amazon ECSTask ExecutionRolePolicy di Referensi Kebijakan AWS Terkelola.

Amazon ECSService RolePolicy

Kebijakan IAM AmazonECSServiceRolePolicy terkelola memungkinkan Amazon Elastic Container Service mengelola klaster Anda. Kebijakan ini dapat ditambahkan ke peran IAM eksekusi tugas Anda. Untuk informasi selengkapnya, lihat Peran IAM eksekusi tugas Amazon ECS.

Untuk melihat izin kebijakan ini, lihat Amazon ECSService RolePolicy di Referensi Kebijakan AWS Terkelola.

`AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`

Anda dapat melampirkan AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity kebijakan ke entitas IAM Anda. Kebijakan ini memberikan akses administratif ke AWS Private Certificate Authority, Secrets Manager, dan AWS Layanan lain yang diperlukan untuk mengelola fitur Amazon ECS Service Connect TLS atas nama Anda.

Untuk melihat izin kebijakan ini, lihat Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity di Referensi Kebijakan AWS Terkelola.

`AWSApplicationAutoscalingECSServicePolicy`

Anda tidak dapat melampirkan AWSApplicationAutoscalingECSServicePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Application Auto Scaling untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya. lihat Peran tertaut layanan untuk Application Auto Scaling.

Untuk melihat izin kebijakan ini, lihat Kebijakan AWSApplicationPenskalaan Otomatis di Referensi ECSService Kebijakan Terkelola.AWS

`AWSCodeDeployRoleForECS`

Anda tidak dapat melampirkan AWSCodeDeployRoleForECS ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CodeDeploy untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Membuat peran layanan CodeDeploy di Panduan AWS CodeDeploy Pengguna.

Untuk melihat izin kebijakan ini, lihat AWSCodeDeployRoleForECS di Referensi Kebijakan AWS Terkelola.

`AWSCodeDeployRoleForECSLimited`

Anda tidak dapat melampirkan AWSCodeDeployRoleForECSLimited ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CodeDeploy untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Membuat peran layanan CodeDeploy di Panduan AWS CodeDeploy Pengguna.

Untuk melihat izin kebijakan ini, lihat AWSCodeDeployRoleForECSLimiteddi Referensi Kebijakan AWS Terkelola.

`AmazonECSInfrastructureRolePolicyForVpcLattice`

Anda dapat melampirkan AmazonECSInfrastructureRolePolicyForVpcLattice kebijakan ke entitas IAM Anda. Kebijakan ini Menyediakan akses ke sumber daya AWS layanan lain yang diperlukan untuk mengelola fitur Kisi VPC di beban kerja Amazon ECS atas nama Anda.

Untuk melihat izin kebijakan ini, lihat Amazon ECSInfrastructure RolePolicyForVpcLattice di Referensi Kebijakan AWS Terkelola.

Menyediakan akses ke sumber daya AWS layanan lain yang diperlukan untuk mengelola fitur VPC Lattice di beban kerja Amazon ECS atas nama Anda.

Amazon ECS memperbarui kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon ECS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen Amazon ECS.

Perubahan	Deskripsi	Tanggal
Tambahkan izin ke Amazon ECSInfrastructure RolePolicyForVolumes	`AmazonECSInfrastructureRolePolicyForVolumes`Kebijakan telah diperbarui untuk menambahkan `ec2:DescribeInstances` izin. Izin tersebut membantu mencegah tabrakan nama perangkat untuk volume Amazon EBS yang dilampirkan ke tugas Amazon ECS yang berjalan pada instance container yang sama.	Juni 2, 2025
Tambahkan Amazon baru ECSInfrastructure RolePolicyForVpcLattice	Menyediakan akses ke sumber daya AWS layanan lain yang diperlukan untuk mengelola fitur VPC Lattice di beban kerja Amazon ECS atas nama Anda.	November 18, 2024
Tambahkan izin ke Amazon ECSInfrastructure RolePolicyForVolumes	`AmazonECSInfrastructureRolePolicyForVolumes`Kebijakan ini telah diperbarui untuk memungkinkan pelanggan membuat volume Amazon EBS dari snapshot.	Oktober 10, 2024
Menambahkan izin ke Amazonecs_ FullAccess	`AmazonECS_FullAccess`Kebijakan telah diperbarui untuk menambahkan `iam:PassRole` izin untuk peran IAM untuk peran bernama. `ecsInfrastructureRole` Ini adalah peran IAM default yang dibuat oleh AWS Management Console yang dimaksudkan untuk digunakan sebagai peran infrastruktur ECS yang memungkinkan Amazon ECS mengelola volume Amazon EBS yang melekat pada tugas ECS.	Agustus 13, 2024
Tambahkan ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity kebijakan Amazon baru	Menambahkan ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity kebijakan Amazon baru yang menyediakan akses administratif ke AWS KMS AWS Private Certificate Authority, Secrets Manager, dan memungkinkan fitur Amazon ECS Service Connect TLS berfungsi dengan baik.	Januari 22, 2024
Tambahkan kebijakan baru Amazon ECSInfrastructure RolePolicyForVolumes	`AmazonECSInfrastructureRolePolicyForVolumes`Kebijakan itu ditambahkan. Kebijakan ini memberikan izin yang diperlukan oleh Amazon ECS untuk melakukan panggilan AWS API guna mengelola volume Amazon EBS yang terkait dengan beban kerja Amazon ECS.	Januari 11, 2024
Tambahkan izin ke Amazon ECSService RolePolicy	Kebijakan IAM `AmazonECSServiceRolePolicy` terkelola telah diperbarui dengan `events` izin baru `autoscaling` dan `autoscaling-plans` tambahan serta izin.	Desember 4, 2023
Tambahkan izin ke Amazon EC2 ContainerServiceEventsRole	Kebijakan IAM `AmazonECSServiceRolePolicy` terkelola telah diperbarui untuk mengizinkan akses ke operasi AWS Cloud Map `DiscoverInstancesRevision` API.	4 Oktober 2023
Tambahkan izin ke Peran Amazon EC2 ContainerServicefor EC2	`AmazonEC2ContainerServiceforEC2Role`Kebijakan diubah untuk menambahkan `ecs:TagResource` izin, yang mencakup kondisi yang membatasi izin hanya untuk cluster yang baru dibuat dan instance container terdaftar.	6 Maret 2023
Tambahkan izin ke Amazonecs_ FullAccess	`AmazonECS_FullAccess`Kebijakan diubah untuk menambahkan `elasticloadbalancing:AddTags` izin, yang mencakup kondisi yang membatasi izin hanya untuk penyeimbang beban, grup target, aturan, dan pendengar yang baru dibuat. Izin ini tidak mengizinkan tag ditambahkan ke sumber daya Elastic Load Balancing yang sudah dibuat.	4 Januari 2023
Amazon ECS mulai melacak perubahan	Amazon ECS mulai melacak perubahan untuk kebijakan yang AWS dikelola.	8 Juni 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Contoh kebijakan berbasis identitas

AWS kebijakan terkelola yang dihapus untuk Amazon ECS