Autorizzazioni richieste per la console Amazon ECS con CloudFormation - Amazon Elastic Container Service
Autorizzazioni necessarie per la creazione di un clusterAutorizzazioni necessarie per la creazione di un servizio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni richieste per la console Amazon ECS con CloudFormation

Prima di Console di gestione AWS utilizzarlo per creare le tue risorse, devi assicurarti di disporre delle autorizzazioni IAM corrette. Per informazioni su come impostare le autorizzazioni per la console Amazon ECS in generale, consulta Autorizzazioni richieste per la console Amazon ECS.

La console Amazon ECS è alimentata da AWS CloudFormation e richiede autorizzazioni IAM aggiuntive nei seguenti casi:

  • Creazione di un cluster

  • Creazione di un servizio

  • Creazione di un provider di capacità

Puoi creare una policy per le autorizzazioni aggiuntive e quindi collegarle al ruolo IAM che utilizzi per accedere alla console. Per ulteriori informazioni, consulta Creating IAM policies nella Guida per l’utente di IAM.

Autorizzazioni necessarie per la creazione di un cluster

Quando crei un cluster nella console, hai bisogno di autorizzazioni aggiuntive che ti concedano le autorizzazioni per gestire gli stack. CloudFormation

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • cloudformation: consente ai principali di creare e gestire stack CloudFormation . Ciò è necessario quando si creano cluster Amazon ECS tramite la Console di gestione AWS e la successiva gestione di tali cluster.

  • ssm— Consente di CloudFormation fare riferimento alle più recenti AMI ottimizzate per Amazon ECS. Ciò è necessario quando si creano cluster Amazon ECS utilizzando. Console di gestione AWS

La seguente policy contiene le CloudFormation autorizzazioni richieste e limita le azioni alle risorse create nella console Amazon ECS.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack"
             ],
            "Resource": [
                "arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*"
            ]
      },
      {
          "Effect": "Allow",
          "Action": "ssm:GetParameters",
          "Resource": [
            "arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2*/*",
            "arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2023*/*"
          ]
      }
   ]
}

Se non hai creato il ruolo dell'istanza del contenitore Amazon ECS (ecsInstanceRole) e stai creando un cluster che utilizza EC2 istanze Amazon, la console creerà il ruolo per tuo conto.

Inoltre, se utilizzi gruppi con dimensionamento automatico, sono necessarie autorizzazioni aggiuntive affinché la console possa aggiungere tag ai gruppi con dimensionamento automatico quando si utilizza la funzionalità di dimensionamento automatico del cluster.

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • autoscaling— Consente alla console di etichettare il gruppo Amazon EC2 Auto Scaling. Ciò è necessario per gestire i gruppi di Amazon EC2 auto scaling quando si utilizza la funzionalità di scalabilità automatica del cluster. Il tag è il tag gestito da ECS che la console aggiunge in automatico al gruppo per indicare che è stato creato nella console.

  • iam: consente ai principali di elencare i ruoli IAM e le relative policy associate. I responsabili possono anche elencare i profili di istanza disponibili per le tue EC2 istanze Amazon.

La policy seguente contiene le autorizzazioni IAM necessarie e limita le operazioni al ruolo ecsInstanceRole.

Le autorizzazioni di dimensionamento automatico non sono limitate.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": "autoscaling:CreateOrUpdateTags",
            "Resource": "*"
        }
    ]
}

Autorizzazioni necessarie per la creazione di un servizio

Quando crei un servizio nella console, hai bisogno di autorizzazioni aggiuntive che ti concedano le autorizzazioni per gestire gli stack. CloudFormation Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • cloudformation: consente ai principali di creare e gestire stack CloudFormation . Ciò è necessario quando si creano servizi Amazon ECS utilizzando la Console di gestione AWS e la successiva gestione di tali cluster.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni alle risorse create nella console Amazon ECS.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack"
             ],
            "Resource": [
                "arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*"
            ]
      }
   ]
}