Autorizzazioni necessarie per la console Amazon ECS - Amazon Elastic Container Service
Autorizzazioni per la creazione di ruoli IAMAutorizzazioni necessarie per la registrazione di un'istanza esterna in un clusterAutorizzazioni necessarie per la registrazione di una definizione di attivitàAutorizzazioni necessarie per usare Amazon Q Developer per fornire consigli nella consoleAutorizzazioni necessarie per la creazione di una regola EventBridge per le attività pianificateAutorizzazioni richieste per visualizzare le implementazioni del servizioAutorizzazioni necessarie per visualizzare gli eventi del ciclo di vita di Amazon ECS in Approfondimenti sui containerAutorizzazioni necessarie per abilitare gli eventi del ciclo di vita di Amazon ECS in Approfondimenti sui container

Autorizzazioni necessarie per la console Amazon ECS

Seguendo la best practice per concedere il privilegio minimo, è possibile utilizzare la policy gestita di AmazonECS_FullAccess come modello per la creazione di policy personalizzate. In questo modo, è possibile rimuovere o aggiungere autorizzazioni da e verso le policy gestite in base ai requisiti specifici. Per ulteriori informazioni, consulta AmazonECS_FullAccess nella Guida di riferimento sulle policy gestite da AWS.

Autorizzazioni per la creazione di ruoli IAM

Le operazioni seguenti richiedono autorizzazioni aggiuntive per completare l'operazione:

Puoi aggiungere queste autorizzazioni creando un ruolo in IAM prima di utilizzarle nella console Amazon ECS. Se non crei i ruoli, la console Amazon ECS li crea per tuo conto.

Autorizzazioni necessarie per la registrazione di un'istanza esterna in un cluster

Hai bisogno di autorizzazioni aggiuntive quando registri un'istanza esterna in un cluster e desideri creare un nuovo ruolo di istanza esterna (ecsExternalInstanceRole).

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.

    • iam:AttachRolePolicy

    • iam:CreateRole

    • am:CreateInstanceProfile

    • iam:AddRoleToInstanceProfile

    • iam:ListInstanceProfilesForRole

    • iam:GetRole

  • ssm: consente ai principali di registrare l'istanza esterna con Systems Manager.

Nota

Per scegliere un ruolo ecsExternalInstanceRole esistente, devi disporre delle autorizzazioni iam:GetRole e iam:PassRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsExternalInstanceRole.

JSON
{
"Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
          ],
          "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
      },
      {
          "Effect": "Allow",
          "Action": ["iam:PassRole","ssm:CreateActivation"],
          "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
      }
    ]
}

Autorizzazioni necessarie per la registrazione di una definizione di attività

Hai bisogno di autorizzazioni aggiuntive quando registri una definizione di attività e desideri creare un nuovo ruolo di esecuzione di attività (ecsTaskExecutionRole).

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.

    • iam:AttachRolePolicy

    • iam:CreateRole

    • iam:GetRole

Nota

Per scegliere un ruolo ecsTaskExecutionRole esistente, devi disporre dell'autorizzazione iam:GetRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsTaskExecutionRole.

JSON
{
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "iam:AttachRolePolicy",
            "iam:CreateRole",
            "iam:GetRole"
        ],
        "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
        }
    ]
}

Autorizzazioni necessarie per usare Amazon Q Developer per fornire consigli nella console

Affinché Amazon Q Developer fornisca raccomandazioni nella console Amazon ECS, è necessario abilitare le autorizzazioni IAM corrette per il proprio utente o ruolo IAM. Devi aggiungere l'autorizzazione codewhisperer:GenerateRecommendations.

JSON
{
"Statement": [
      {
            "Sid": "AmazonQDeveloperPermissions",
            "Effect": "Allow",
            "Action": ["codewhisperer:GenerateRecommendations"],
            "Resource": "*"
        }
    ]
}

Per utilizzare la chat in linea nella console Amazon ECS, è necessario abilitare le autorizzazioni IAM corrette per il ruolo o l'utente IAM. Devi aggiungere l'autorizzazione q:SendMessage.

JSON
{
"Statement": [
    {
        "Sid": "AmazonQDeveloperInlineChatPermissions",
        "Effect": "Allow",
        "Action": ["q:SendMessage"],
        "Resource": "*"
    }
  ]
}

Autorizzazioni necessarie per la creazione di una regola EventBridge per le attività pianificate

Hai bisogno di autorizzazioni aggiuntive quando pianifichi un'attività e desideri creare un nuovo ruolo CloudWatch Events (ecsEventsRole).

Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:

  • iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate e di permettere ad Amazon ECS di trasmettere il ruolo ad altri servizi affinché lo assumano.

Nota

Per scegliere un ruolo ecsEventsRole esistente, devi disporre delle autorizzazioni iam:GetRole e iam:PassRole.

La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsEventsRole.

JSON
{
 "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "iam:AttachRolePolicy",
            "iam:CreateRole",
            "iam:GetRole",
            "iam:PassRole"
        ],
        "Resource": "arn:aws:iam::*:role/ecsEventsRole"
        }
    ]
}

Autorizzazioni richieste per visualizzare le implementazioni del servizio

Quando si segue la best practice della concessione dei privilegi minimi, è necessario aggiungere ulteriori autorizzazioni per visualizzare le implementazioni del servizio nella console.

È necessario accedere alle seguenti azioni:

  • ListServiceDeployments

  • DescribeServiceDeployments

  • DescribeServiceRevisions

È necessario accedere alle seguenti risorse:

  • Servizio

  • Implementazioni del servizio

  • Revisione del servizio

La seguente policy di esempio contiene le autorizzazioni necessarie e limita le operazioni a un servizio specifico.

Sostituire account, cluster-name e service-name con i valori.

JSON
{
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "ecs:ListServiceDeployments",
            "ecs:DescribeServiceDeployments",
            "ecs:DescribeServiceRevisions"
        ],
        "Resource": [
            "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
            "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
            "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
            ]
        }
   ]
}

Autorizzazioni necessarie per visualizzare gli eventi del ciclo di vita di Amazon ECS in Approfondimenti sui container

Per visualizzare gli eventi del ciclo di vita sono necessarie le seguenti autorizzazioni. Aggiungi le autorizzazioni seguenti come policy in linea al ruolo. Per ulteriori informazioni, consulta Aggiunta e rimozione delle policy IAM.

  • events:DescribeRule

  • events:ListTargetsByRule

  • logs:DescribeLogGroups

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "events:DescribeRule",
        "events:ListTargetsByRule",
        "logs:DescribeLogGroups"
      ],
      "Resource": "*"
    }
  ]
}

Autorizzazioni necessarie per abilitare gli eventi del ciclo di vita di Amazon ECS in Approfondimenti sui container

Per configurare gli eventi del ciclo di vita sono necessarie le seguenti autorizzazioni:

  • events:PutRule

  • events:PutTargets

  • logs:CreateLogGroup

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "events:PutRule",
        "events:PutTargets",
        "logs:CreateLogGroup"
      ],
      "Resource": "*"
    }
  ]
}