Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS kebijakan terkelola untuk Amazon Elastic Container Service
<a name="security-iam-awsmanpol"></a>

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan **ReadOnlyAccess** AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.

Amazon ECS dan Amazon ECR menyediakan beberapa kebijakan terkelola dan hubungan kepercayaan yang dapat Anda lampirkan ke pengguna, grup, peran, instans Amazon EC2, dan tugas Amazon ECS yang memungkinkan berbagai tingkat kontrol atas sumber daya dan operasi API. Anda dapat menerapkan kebijakan ini secara langsung atau menggunakannya sebagai titik awal untuk membuat kebijakan Anda sendiri. Untuk informasi selengkapnya tentang kebijakan terkelola Amazon ECR, lihat kebijakan yang [dikelola Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr_managed_policies.html).

## Amazonecs\$1 FullAccess
<a name="security-iam-awsmanpol-AmazonECS_FullAccess"></a>

Anda dapat melampirkan kebijakan `AmazonECS_FullAccess` ke identitas IAM Anda. Kebijakan ini memberikan akses administratif ke sumber daya Amazon ECS dan memberikan identitas IAM (seperti pengguna, grup, atau peran) akses ke layanan AWS yang terintegrasi dengan Amazon ECS untuk menggunakan semua fitur Amazon ECS. Menggunakan kebijakan ini memungkinkan akses ke semua fitur Amazon ECS yang tersedia di. Konsol Manajemen AWS

*Untuk melihat izin kebijakan ini, lihat [AmazonECS\$1 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) di Referensi Kebijakan Terkelola.AWS *

## Amazon ECSInfrastructure RolePolicyForVolumes
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes"></a>

Anda dapat melampirkan kebijakan `AmazonECSInfrastructureRolePolicyForVolumes` terkelola ke entitas IAM Anda.

Kebijakan ini memberikan izin yang diperlukan oleh Amazon ECS untuk melakukan panggilan AWS API atas nama Anda. Anda dapat melampirkan kebijakan ini ke peran IAM yang Anda berikan dengan konfigurasi volume saat meluncurkan tugas dan layanan Amazon ECS. Peran ini memungkinkan Amazon ECS untuk mengelola volume yang melekat pada tugas Anda. Untuk informasi selengkapnya, lihat [peran IAM infrastruktur Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/infrastructure_IAM_role.html).

Untuk melihat izin kebijakan ini, lihat [Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html) di *Referensi Kebijakan AWS Terkelola*.

## EC2ContainerServiceforEC2Peran Amazon
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role"></a>

Anda dapat melampirkan kebijakan `AmazonEC2ContainerServiceforEC2Role` ke identitas IAM Anda. Kebijakan ini memberikan izin administratif yang memungkinkan instans penampung Amazon ECS melakukan panggilan atas nama Anda. AWS Untuk informasi selengkapnya, lihat [Peran IAM instans kontainer Amazon ECS](instance_IAM_role.md).

Amazon ECS melampirkan kebijakan ini ke peran layanan yang memungkinkan Amazon ECS melakukan tindakan atas nama Anda terhadap instans Amazon EC2 atau instans eksternal.

Untuk melihat izin kebijakan ini, lihat [EC2ContainerServiceforEC2Peran Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceforEC2Role.html) di *Referensi Kebijakan AWS Terkelola*.

### Pertimbangan-pertimbangan
<a name="instance-iam-role-considerations"></a>

Anda harus mempertimbangkan rekomendasi dan pertimbangan berikut saat menggunakan kebijakan IAM `AmazonEC2ContainerServiceforEC2Role` terkelola.
+ Dengan mengikuti saran keamanan standar pemberian hak istimewa paling rendah, Anda dapat memodifikasi kebijakan terkelola `AmazonEC2ContainerServiceforEC2Role` agar sesuai dengan kebutuhan spesifik Anda. Jika salah satu izin yang diberikan dalam kebijakan terkelola tidak diperlukan untuk kasus penggunaan Anda, buat kebijakan kustom dan hanya tambahkan izin yang Anda perlukan. Misalnya, `UpdateContainerInstancesState` izin diberikan untuk pengeringan Instans Spot. Jika izin tersebut tidak diperlukan untuk kasus penggunaan Anda, izin tersebut dapat dikecualikan dengan menggunakan kebijakan kustom. 
+ Kontainer yang berjalan pada instans kontainer Anda memiliki akses ke semua izin yang disediakan untuk peran instans kontainer melalui [Metadata instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html). Kami merekomendasikan Anda untuk membatasi izin dalam peran instans kontainer Anda agar hanya menyediakan izin minimal di kebijakan `AmazonEC2ContainerServiceforEC2Role` terkelola. Jika kontainer dalam tugas Anda memerlukan izin tambahan yang tidak terdaftar, sebaiknya berikan tugas tersebut dengan peran IAM mereka sendiri. Untuk informasi selengkapnya, lihat [Peran IAM tugas Amazon ECS](task-iam-roles.md).

  Kontainer pada jembatan `docker0` dapat dicegah untuk tidak mengakses izin yang disediakan untuk peran instans kontainer.. Tindakan ini masih bisa dilakukan bersamaan dengan berlakunya izin yang diberikan [Peran IAM tugas Amazon ECS](task-iam-roles.md) dengan menjalankan perintah **iptables** pada instans kontainer Anda. Kontainer tidak dapat melakukan kueri terhadap metadata instans saat aturan ini berlaku. Perintah ini mengasumsikan konfigurasi jembatan Docker default dan tidak bekerja dengan kontainer yang menerapkan mode jaringan `host`. Untuk informasi selengkapnya, lihat [Mode jaringan](task_definition_parameters.md#network_mode).

  ```
  sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
  ```

  Anda harus menyimpan aturan **iptables** ini pada instans kontainer Anda untuk itu untuk bertahan saat booting ulang. Untuk AMI Amazon ECS yang dioptimalkan, gunakan perintah berikut. Untuk sistem operasi lain, konsultasikan dokumentasi untuk OS tersebut.
  + Untuk Amazon ECS yang dioptimalkan Amazon Linux 2 AMI:

    ```
    sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
    ```
  + Untuk Amazon ECS yang dioptimalkan Amazon Linux AMI:

    ```
    sudo service iptables save
    ```

## Amazon EC2 ContainerServiceEventsRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole"></a>

Anda dapat melampirkan kebijakan `AmazonEC2ContainerServiceEventsRole` ke identitas IAM Anda. Kebijakan ini memberikan izin yang memungkinkan Amazon EventBridge (sebelumnya CloudWatch Acara) menjalankan tugas atas nama Anda. Kebijakan ini dapat dilampirkan ke peran IAM yang ditentukan saat Anda membuat tugas terjadwal. Untuk informasi selengkapnya, lihat [Peran Amazon ECS EventBridge IAM](CWE_IAM_role.md).

Untuk melihat izin kebijakan ini, lihat [Amazon EC2 ContainerServiceEventsRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceEventsRole.html) di *Referensi Kebijakan AWS Terkelola*.

## Amazon ECSTask ExecutionRolePolicy
<a name="security-iam-awsmanpol-AmazonECSTaskExecutionRolePolicy"></a>

Kebijakan IAM `AmazonECSTaskExecutionRolePolicy` terkelola memberikan izin yang diperlukan oleh agen kontainer Amazon ECS dan AWS Fargate agen kontainer untuk melakukan panggilan AWS API atas nama Anda. Kebijakan ini dapat ditambahkan ke peran IAM eksekusi tugas Anda. Untuk informasi selengkapnya, lihat [Peran IAM pelaksanaan tugas Amazon ECS](task_execution_IAM_role.md).

Untuk melihat izin kebijakan ini, lihat [Amazon ECSTask ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSTaskExecutionRolePolicy.html) di *Referensi Kebijakan AWS Terkelola*.

## Amazon ECSService RolePolicy
<a name="security-iam-awsmanpol-AmazonECSServiceRolePolicy"></a>

Kebijakan IAM `AmazonECSServiceRolePolicy` terkelola memungkinkan Amazon Elastic Container Service mengelola klaster Anda. Kebijakan ini dapat ditambahkan ke peran terkait layanan [AWSServiceRoleForECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using-service-linked-roles-for-clusters.html#service-linked-role-permissions-clusters) Anda. 

Untuk melihat izin kebijakan ini, lihat [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSServiceRolePolicy.html) di *Referensi Kebijakan AWS Terkelola*.

## `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity"></a>

Anda dapat melampirkan `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` kebijakan ke entitas IAM Anda. Kebijakan ini memberikan akses administratif ke AWS Private Certificate Authority, Secrets Manager, dan AWS Layanan lain yang diperlukan untuk mengelola fitur Amazon ECS Service Connect TLS atas nama Anda.

Untuk melihat izin kebijakan ini, lihat [Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html) di *Referensi Kebijakan AWS Terkelola*.

## `AWSApplicationAutoscalingECSServicePolicy`
<a name="security-iam-awsmanpol-AWSApplicationAutoscalingECSServicePolicy"></a>

Anda tidak dapat melampirkan `AWSApplicationAutoscalingECSServicePolicy` ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Application Auto Scaling untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya. lihat [Peran tertaut layanan untuk Application Auto Scaling](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html).

*Untuk melihat izin kebijakan ini, lihat Kebijakan [AWSApplicationPenskalaan Otomatis di Referensi ECSService Kebijakan Terkelola](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingECSServicePolicy.html).AWS *

## `AWSCodeDeployRoleForECS`
<a name="security-iam-awsmanpol-AWSCodeDeployRoleForECS"></a>

Anda tidak dapat melampirkan `AWSCodeDeployRoleForECS` ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CodeDeploy untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Membuat peran layanan CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html) di *Panduan AWS CodeDeploy Pengguna*.

Untuk melihat izin kebijakan ini, lihat [AWSCodeDeployRoleForECS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECS.html) di Referensi *Kebijakan AWS Terkelola*.

## `AWSCodeDeployRoleForECSLimited`
<a name="security-iam-awsmanpol-AWSCodeDeployRoleForECSLimited"></a>

Anda tidak dapat melampirkan `AWSCodeDeployRoleForECSLimited` ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CodeDeploy untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Membuat peran layanan CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html) di *Panduan AWS CodeDeploy Pengguna*.

Untuk melihat izin kebijakan ini, lihat [AWSCodeDeployRoleForECSLimited](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECSLimited.html)di *Referensi Kebijakan AWS Terkelola*.

## `AmazonECSInfrastructureRolePolicyForLoadBalancers`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers"></a>

Anda dapat melampirkan `AmazonECSInfrastructureRolePolicyForLoadBalancers` kebijakan ke entitas IAM Anda. Kebijakan ini memberikan izin yang memungkinkan Amazon ECS mengelola sumber daya Elastic Load Balancing atas nama Anda. Kebijakan tersebut meliputi:
+ Izin baca-saja untuk mendeskripsikan pendengar, aturan, grup target, dan kesehatan target
+ Izin untuk mendaftarkan dan membatalkan pendaftaran target dengan grup target
+ Izin untuk memodifikasi pendengar untuk Application Load Balancers dan Network Load Balancers
+ Izin untuk mengubah aturan untuk Application Load Balancers

Izin ini memungkinkan Amazon ECS untuk secara otomatis mengelola konfigurasi penyeimbang beban saat layanan dibuat atau diperbarui, memastikan perutean lalu lintas yang tepat ke kontainer Anda.

Untuk melihat izin kebijakan ini, lihat [Amazon ECSInfrastructure RolePolicyForLoadBalancers](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForLoadBalancers.html) di *Referensi Kebijakan AWS Terkelola*.

## `AmazonECSInfrastructureRolePolicyForManagedInstances`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances"></a>

Anda dapat melampirkan `AmazonECSInfrastructureRolePolicyForManagedInstances` kebijakan ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan oleh Amazon ECS untuk membuat dan memperbarui sumber daya Amazon EC2 untuk Instans Terkelola ECS atas nama Anda. Kebijakan tersebut meliputi:
+ Izin untuk membuat dan mengelola template peluncuran Amazon EC2 untuk instans terkelola
+ Izin untuk menyediakan instans Amazon EC2 menggunakan dan CreateFleet RunInstances
+ Izin untuk membuat dan mengelola tag di sumber daya Amazon EC2 yang dibuat oleh ECS
+ Izin untuk meneruskan peran IAM ke instans Amazon EC2 untuk instans terkelola
+ Izin untuk membuat peran terkait layanan untuk instans Amazon EC2 Spot
+ Izin hanya-baca untuk menjelaskan sumber daya Amazon EC2 termasuk instans, jenis instans, templat peluncuran, antarmuka jaringan, zona ketersediaan, grup keamanan, subnet, VPC, Gambar EC2, dan reservasi kapasitas
+ Izin hanya-baca untuk mencantumkan ResourceGroups sumber daya Amazon, yang memerlukan izin dasar untuk mendapatkan sumber daya yang ditandai dan mencantumkan sumber daya tumpukan Amazon CloudFormation 

Izin ini memungkinkan Amazon ECS untuk secara otomatis menyediakan dan mengelola instans Amazon EC2 untuk Instans Terkelola ECS Anda, memastikan konfigurasi dan pengelolaan siklus hidup yang tepat dari sumber daya komputasi yang mendasarinya.

Untuk melihat izin kebijakan ini, lihat [Amazon ECSInfrastructure RolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html) di *Referensi Kebijakan AWS Terkelola*.

## `AmazonECSInfrastructureRolePolicyForVpcLattice`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice"></a>

Anda dapat melampirkan `AmazonECSInfrastructureRolePolicyForVpcLattice` kebijakan ke entitas IAM Anda. Kebijakan ini Menyediakan akses ke sumber daya AWS layanan lain yang diperlukan untuk mengelola fitur Kisi VPC di beban kerja Amazon ECS atas nama Anda.

Untuk melihat izin kebijakan ini, lihat [Amazon ECSInfrastructure RolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html) di *Referensi Kebijakan AWS Terkelola*.

Menyediakan akses ke sumber daya AWS layanan lain yang diperlukan untuk mengelola fitur VPC Lattice di beban kerja Amazon ECS atas nama Anda.

## `AmazonECSInfrastructureRoleforExpressGatewayServices`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices"></a>

Anda dapat melampirkan `AmazonECSInfrastructureRoleforExpressGatewayServices` kebijakan ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan oleh Amazon ECS untuk membuat dan memperbarui aplikasi web menggunakan Layanan Ekspres atas nama Anda. Kebijakan tersebut meliputi:
+ Izin untuk membuat peran terkait layanan untuk Amazon ECS Application Auto Scaling
+ Izin untuk membuat, memodifikasi, dan menghapus Application Load Balancers, listener, rules, dan grup target
+ Izin untuk membuat, memodifikasi, dan menghapus grup keamanan VPC untuk sumber daya yang dikelola ECS
+ Izin untuk meminta, mengelola, dan menghapus SSL/TLS sertifikat melalui ACM
+ Izin untuk mengonfigurasi kebijakan dan target Application Auto Scaling untuk layanan Amazon ECS
+ Izin untuk membuat dan mengelola CloudWatch alarm untuk pemicu penskalaan otomatis
+ Izin hanya-baca untuk menjelaskan penyeimbang beban, sumber daya VPC, sertifikat, konfigurasi penskalaan otomatis, dan alarm CloudWatch 

Izin ini memungkinkan Amazon ECS untuk secara otomatis menyediakan dan mengelola komponen infrastruktur yang diperlukan untuk aplikasi web Layanan Ekspres, termasuk load balancing, grup keamanan, sertifikat SSL, dan konfigurasi penskalaan otomatis.

Untuk melihat izin kebijakan ini, lihat [Amazon ECSInfrastructure RoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html) di *Referensi Kebijakan AWS Terkelola*.

## `AmazonECSComputeServiceRolePolicy`
<a name="security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy"></a>

`AmazonECSComputeServiceRolePolicy`Kebijakan ini dilampirkan pada peran ECSCompute ServiceRole terkait layanan Amazon. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk mengelola Instans Terkelola Amazon ECS](using-service-linked-roles-instances.md).

Kebijakan ini mencakup izin yang memungkinkan Amazon ECS menyelesaikan tugas-tugas berikut:
+ Amazon ECS dapat mendeskripsikan dan menghapus template peluncuran.
+  Amazon ECS dapat mendeskripsikan dan menghapus versi template peluncuran.
+ Amazon ECS dapat menghentikan instans.
+ Amazon ECS dapat menjelaskan parameter data instans berikut:
  + Instans
  + Antarmuka jaringan instans: Amazon ECS dapat menjelaskan cara mengelola siklus hidup instans EC2.
  + Jendela kejadian instance: Amazon ECS dapat menjelaskan informasi jendela peristiwa untuk menentukan apakah alur kerja dapat terganggu untuk menambal instance.
  + Status instans: Amazon ECS dapat menjelaskan status instans untuk memantau kesehatan instans.

Untuk melihat izin kebijakan ini, lihat [Amazon ECSCompute ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSComputeServiceRolePolicy.html) di *Referensi Kebijakan AWS Terkelola*.

## `AmazonECSInstanceRolePolicyForManagedInstances`
<a name="security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances"></a>

`AmazonECSInstanceRolePolicyForManagedInstances`Kebijakan ini memberikan izin untuk instans terkelola Amazon ECS untuk mendaftar dengan kluster Amazon ECS dan berkomunikasi dengan layanan Amazon ECS.

Kebijakan ini mencakup izin yang memungkinkan instans terkelola Amazon ECS untuk menyelesaikan tugas-tugas berikut:
+ Daftar dan deregister dengan cluster Amazon ECS.
+ Kirim perubahan status instance kontainer.
+ Kirim perubahan status tugas.
+ Temukan titik akhir polling untuk agen Amazon ECS.

Untuk melihat izin kebijakan ini, lihat [Amazon ECSInstance RolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInstanceRolePolicyForManagedInstances.html) di *Referensi Kebijakan AWS Terkelola*.

## Amazon ECS memperbarui kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon ECS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen Amazon ECS.

 


| Ubah | Deskripsi | Date | 
| --- | --- | --- | 
|   `AmazonECSInfrastructureRolePolicyForManagedInstances`Kebijakan pembaruan   |  `AmazonECSInfrastructureRolePolicyForManagedInstances`Kebijakan ini telah diperbarui dengan izin berikut untuk mendukung Reservasi Kapasitas di Instans Terkelola Amazon ECS: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonECS/latest/developerguide/security-iam-awsmanpol.html)  | Februari 24, 2026 | 
|  Tambahkan izin ke [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | Kebijakan IAM AmazonECSServiceRolePolicy terkelola telah diperbarui untuk menyertakan ssmmessages:OpenDataChannel izin. Izin ini memungkinkan Amazon ECS untuk membuka saluran data untuk sesi ECS Exec. | Januari 20, 2026 | 
|   `AmazonECSInfrastructureRolePolicyForManagedInstances`Kebijakan pembaruan   |  `AmazonECSInfrastructureRolePolicyForManagedInstances`Kebijakan telah diperbarui untuk mengubah `CreateFleet` izin. Kondisi berbasis sumber daya untuk subnet, grup keamanan, dan gambar EC2 telah dihapus karena: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonECS/latest/developerguide/security-iam-awsmanpol.html) Perubahan ini memastikan bahwa kebijakan berfungsi dengan benar dengan sumber daya yang tidak memiliki tag manajemen ECS yang diharapkan.   | Desember 15, 2025 | 
|  Tambahkan izin ke [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | Kebijakan IAM AmazonECSServiceRolePolicy terkelola diperbarui dengan izin Amazon EC2 baru yang memungkinkan Amazon ECS untuk mengambil Amazon EC2 Event Windows untuk layanan dan cluster yang terkait dengan Event Windows. | November 20, 2025 | 
|  Tambahkan izin ke [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | Kebijakan IAM AmazonECSServiceRolePolicy terkelola telah diperbarui dengan izin Amazon EC2 baru yang memungkinkan Amazon ECS untuk menyediakan dan membatalkan penyediaan Task ENI. | November 14, 2025 | 
|  Perbarui ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity kebijakan [Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity)   | Memperbarui kebijakan IAM ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity terkelola Amazon untuk memisahkan DescribeSecret izin secretsmanager: ke dalam pernyataan kebijakannya sendiri. Izin terus mencakup akses Amazon ECS secara eksklusif ke rahasia yang dibuat oleh Amazon ECS dan menggunakan pencocokan pola ARN alih-alih tag sumber daya untuk pelingkupan. Hal ini memungkinkan Amazon ECS untuk memantau status rahasia sepanjang siklus hidupnya, termasuk ketika rahasia telah dihapus. | November 13, 2025 | 
|  Tambahkan baru [`AmazonECSInfrastructureRoleforExpressGatewayServices`](#security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices)  | Menambahkan ECSInfrastructure RoleforExpressGatewayServices kebijakan Amazon baru yang menyediakan akses Amazon ECS untuk membuat dan mengelola aplikasi web menggunakan Layanan Ekspres. | November 21, 2025 | 
|  Tambahkan baru [`AmazonECSInstanceRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances)  | Menambahkan ECSInstance RolePolicyForManagedInstances kebijakan Amazon baru yang memberikan izin untuk instans terkelola Amazon ECS untuk mendaftar dengan kluster Amazon ECS. | September 30, 2025 | 
|  Tambahkan baru [`AmazonECSInfrastructureRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances)  | Menambahkan kebijakan AmazonECS baru yang menyediakan InfrastructureRolePolicyForManagedInstances akses Amazon ECS untuk membuat dan mengelola sumber daya terkelola Amazon EC2. | September, 30, 2025 | 
|  Tambahkan [Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy) baru ECSCompute ServiceRolePolicy  | Memungkinkan Amazon ECS mengelola Instans Terkelola Amazon ECS dan sumber daya terkait. | Agustus 31, 2025 | 
|  Tambahkan izin ke [EC2ContainerServiceforEC2Peran Amazon](#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role)   | Kebijakan IAM AmazonEC2ContainerServiceforEC2Role terkelola telah diperbarui untuk menyertakan ecs:ListTagsForResource izin. Izin ini memungkinkan agen Amazon ECS untuk mengambil tag instance tugas dan container melalui titik akhir metadata tugas (). \$1\$1ECS\$1CONTAINER\$1METADATA\$1URI\$1V4\$1/taskWithTags | Agustus 4, 2025 | 
|  Tambahkan izin ke [Amazon ECSInfrastructure RolePolicyForLoadBalancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers).  | Kebijakan IAM AmazonECSInfrastructureRolePolicyForLoadBalancers terkelola diperbarui dengan izin baru untuk mendeskripsikan, membatalkan pendaftaran, dan mendaftarkan grup sasaran. | Juli 25, 2025 | 
|  Tambahkan [`AmazonECSInfrastructureRolePolicyForLoadBalancers`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers) kebijakan baru  |  Menambahkan ECSInfrastructure RolePolicyForLoadBalancers kebijakan Amazon baru yang menyediakan akses ke sumber daya AWS layanan lain yang diperlukan untuk mengelola penyeimbang beban yang terkait dengan beban kerja Amazon ECS.  | Juli 15, 2025 | 
|  Tambahkan izin ke [Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | Kebijakan IAM AmazonECSServiceRolePolicy terkelola diperbarui dengan AWS Cloud Map izin baru yang Amazon ECS dapat memperbarui atribut AWS Cloud Map layanan untuk layanan yang dikelola Amazon ECS. | Juli 15, 2025 | 
|  [Tambahkan izin ke Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)  | Kebijakan IAM AmazonECSServiceRolePolicy terkelola diperbarui dengan AWS Cloud Map izin baru yang Amazon ECS dapat memperbarui atribut AWS Cloud Map layanan untuk layanan yang dikelola Amazon ECS. | 24 Juni 2025 | 
|  [Tambahkan izin ke Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | AmazonECSInfrastructureRolePolicyForVolumesKebijakan telah diperbarui untuk menambahkan ec2:DescribeInstances izin. Izin tersebut membantu mencegah tabrakan nama perangkat untuk volume Amazon EBS yang dilampirkan ke tugas Amazon ECS yang berjalan pada instance container yang sama. | Juni 2, 2025 | 
|  Tambahkan [Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice) baru ECSInfrastructure RolePolicyForVpcLattice  | Menyediakan akses ke sumber daya AWS layanan lain yang diperlukan untuk mengelola fitur VPC Lattice di beban kerja Amazon ECS atas nama Anda. | November 18, 2024 | 
|  [Tambahkan izin ke Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | AmazonECSInfrastructureRolePolicyForVolumesKebijakan ini telah diperbarui untuk memungkinkan pelanggan membuat volume Amazon EBS dari snapshot. | Oktober 10, 2024 | 
|  Menambahkan izin ke [Amazonecs\$1 FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess)  |  AmazonECS\$1FullAccessKebijakan telah diperbarui untuk menambahkan iam:PassRole izin untuk peran IAM untuk peran bernama. ecsInfrastructureRole Ini adalah peran IAM default yang dibuat oleh Konsol Manajemen AWS yang dimaksudkan untuk digunakan sebagai peran infrastruktur ECS yang memungkinkan Amazon ECS mengelola volume Amazon EBS yang melekat pada tugas ECS. | Agustus 13, 2024 | 
|  Tambahkan ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity kebijakan [Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity) baru  |  Menambahkan ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity kebijakan Amazon baru yang menyediakan akses administratif ke AWS KMS AWS Private Certificate Authority, Secrets Manager, dan memungkinkan fitur Amazon ECS Service Connect TLS berfungsi dengan baik.  | Januari 22, 2024 | 
|  Tambahkan kebijakan baru [Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | AmazonECSInfrastructureRolePolicyForVolumesKebijakan itu ditambahkan. Kebijakan ini memberikan izin yang diperlukan oleh Amazon ECS untuk melakukan panggilan AWS API guna mengelola volume Amazon EBS yang terkait dengan beban kerja Amazon ECS. | Januari 11, 2024 | 
|  [Tambahkan izin ke Amazon ECSService RolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)  | Kebijakan IAM AmazonECSServiceRolePolicy terkelola telah diperbarui dengan events izin baru autoscaling dan autoscaling-plans tambahan serta izin. | Desember 4, 2023 | 
|  [Tambahkan izin ke Amazon EC2 ContainerServiceEventsRole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole)  | Kebijakan IAM AmazonECSServiceRolePolicy terkelola telah diperbarui untuk mengizinkan akses ke operasi AWS Cloud Map DiscoverInstancesRevision API. | 4 Oktober 2023 | 
|  Tambahkan izin ke Peran [Amazon EC2 ContainerServicefor EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role)  | AmazonEC2ContainerServiceforEC2RoleKebijakan diubah untuk menambahkan ecs:TagResource izin, yang mencakup kondisi yang membatasi izin hanya untuk cluster yang baru dibuat dan instance container terdaftar. | 6 Maret 2023 | 
|  Tambahkan izin ke [Amazonecs\$1 FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess)  | AmazonECS\$1FullAccessKebijakan diubah untuk menambahkan elasticloadbalancing:AddTags izin, yang mencakup kondisi yang membatasi izin hanya untuk penyeimbang beban, grup target, aturan, dan pendengar yang baru dibuat. Izin ini tidak mengizinkan tag ditambahkan ke sumber daya Elastic Load Balancing yang sudah dibuat. | 4 Januari 2023 | 
|  Amazon ECS mulai melacak perubahan  |  Amazon ECS mulai melacak perubahan untuk kebijakan yang AWS dikelola.  | 8 Juni 2021 | 

# Menghapus kebijakan IAM AWS terkelola untuk Amazon Elastic Container Service
<a name="security-iam-awsmanpol-deprecated-policies"></a>

Kebijakan IAM AWS terkelola berikut dihapus. Kebijakan ini sekarang digantikan oleh kebijakan yang sudah diperbarui. Kami menyarankan Anda untuk memperbarui pengguna atau peran untuk menggunakan kebijakan yang diperbarui tersebut.

## Amazon EC2 ContainerServiceFullAccess
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceFullAccess"></a>

**penting**  
Kebijakan IAM yang `AmazonEC2ContainerServiceFullAccess` dikelola dihapus pada 29 Januari 2021, sebagai tanggapan atas temuan keamanan dengan izin. `iam:passRole` Izin ini memberikan akses ke semua sumber daya termasuk kredensial untuk berperan di akun. Setelah kebijakan dihapus, Anda tidak dapat melampirkan kebijakan ke pengguna atau peran baru. Setiap pengguna atau peran yang sudah memiliki kebijakan yang dilampirkan dapat terus menggunakannya. Namun, kami menyarankan Anda memperbarui pengguna atau peran Anda untuk menggunakan kebijakan `AmazonECS_FullAccess` terkelola sebagai gantinya. Untuk informasi selengkapnya, lihat [Migrasi ke kebijakan terkelola `AmazonECS_FullAccess`](security-iam-awsmanpol-amazonecs-full-access-migration.md).

## Amazon EC2 ContainerServiceRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceRole"></a>

**penting**  
Kebijakan IAM `AmazonEC2ContainerServiceRole` terkelola dihapus. Sekarang digantikan oleh peran terkait layanan Amazon ECS. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Amazon ECS](using-service-linked-roles.md).

## Amazon EC2 ContainerServiceAutoscaleRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceAutoscaleRole"></a>

**penting**  
Kebijakan IAM `AmazonEC2ContainerServiceAutoscaleRole` terkelola dihapus. Sekarang digantikan oleh peran terkait layanan Application Auto Scaling untuk Amazon ECS. Untuk informasi selengkapnya, lihat [Peran tertaut layanan untuk Application Auto Scaling](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) dalam *Panduan Pengguna Application Auto Scaling*.

# Migrasi ke kebijakan terkelola `AmazonECS_FullAccess`
<a name="security-iam-awsmanpol-amazonecs-full-access-migration"></a>

Kebijakan IAM `AmazonEC2ContainerServiceFullAccess` terkelola dihapus pada 29 Januari 2021, sebagai tanggapan atas temuan keamanan dengan izin. `iam:passRole` Izin ini memberikan akses ke semua sumber daya termasuk kredensial untuk berperan di akun. Setelah kebijakan dihapus, Anda tidak dapat melampirkan kebijakan tersebut ke grup, pengguna atau peran baru. Setiap grup, pengguna, atau peran yang sudah memiliki kebijakan yang dilampirkan dapat terus menggunakannya. Namun, kami menyarankan Anda memperbarui grup, pengguna, atau peran Anda untuk menggunakan kebijakan `AmazonECS_FullAccess` terkelola sebagai gantinya.

Izin yang diberikan oleh kebijakan `AmazonECS_FullAccess` termasuk daftar lengkap izin yang diperlukan untuk menggunakan ECS sebagai administrator. Jika saat ini Anda menggunakan izin yang diberikan oleh `AmazonEC2ContainerServiceFullAccess` kebijakan yang tidak ada dalam `AmazonECS_FullAccess` kebijakan, Anda dapat menambahkannya ke pernyataan kebijakan sebaris. Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola untuk Amazon Elastic Container Service](security-iam-awsmanpol.md).

Gunakan langkah-langkah berikut untuk menentukan apakah Anda memiliki grup, pengguna, atau peran yang saat ini menggunakan kebijakan IAM `AmazonEC2ContainerServiceFullAccess` terkelola. Kemudian perbarui grup, pengguna, atau peran tersebut untuk melepaskan kebijakan sebelumnya dan melampirkan kebijakan `AmazonECS_FullAccess`.

**Untuk memperbarui grup, pengguna, atau peran untuk menggunakan kebijakan FullAccess Amazonecs\$1 ()Konsol Manajemen AWS**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan** lalu cari dan pilih kebijakan `AmazonEC2ContainerServiceFullAccess`.

1. Pilih tab **Penggunaan kebijakan** yang menampilkan peran IAM apa pun yang saat ini menggunakan kebijakan ini.

1. Untuk setiap peran IAM yang saat ini menggunakan `AmazonEC2ContainerServiceFullAccess` kebijakan, pilih peran dan gunakan langkah-langkah berikut untuk melepaskan kebijakan yang dihapus secara bertahap dan melampirkan kebijakan. `AmazonECS_FullAccess`

   1. Pada tab **Izin**, pilih **X** di sebelah EC2 ContainerServiceFullAccess kebijakan **Amazon**.

   1. Pilih **Tambahkan izin**.

   1. **Pilih **Lampirkan kebijakan yang ada secara langsung**, cari dan pilih FullAccess kebijakan **AmazonECS\$1**, lalu pilih Berikutnya: Tinjau.**

   1. Tinjau perubahan lalu pilih **Tambahkan izin**.

   1. Ulangi langkah-langkah ini untuk setiap grup, pengguna, atau peran yang menggunakan `AmazonEC2ContainerServiceFullAccess` kebijakan.

**Untuk memperbarui grup, pengguna, atau peran untuk menggunakan `AmazonECS_FullAccess` kebijakan (AWS CLI)**

1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)perintah untuk membuat laporan yang menyertakan detail tentang kapan kebijakan yang dihapus terakhir kali digunakan.

   ```
   aws iam generate-service-last-accessed-details \
        --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess
   ```

   Contoh output:

   ```
   {
       "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
   }
   ```

1. Gunakan ID pekerjaan dari output sebelumnya dengan [https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)perintah untuk mengambil laporan layanan yang terakhir diakses. Laporan ini menampilkan Nama Sumber Daya Amazon (ARN) entitas IAM yang terakhir menggunakan kebijakan penghapusan bertahap.

   ```
   aws iam get-service-last-accessed-details \
         --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
   ```

1. Gunakan salah satu perintah berikut untuk melepaskan `AmazonEC2ContainerServiceFullAccess` kebijakan dari grup, pengguna, atau peran.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)

1. Gunakan salah satu perintah berikut untuk melampirkan `AmazonECS_FullAccess` kebijakan ke grup, pengguna, atau peran.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)