Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni necessarie per la console Amazon ECS
Seguendo la best practice per concedere il privilegio minimo, è possibile utilizzare la policy gestita di AmazonECS_FullAccess come modello per la creazione di policy personalizzate. In questo modo, è possibile rimuovere o aggiungere autorizzazioni da e verso le policy gestite in base ai requisiti specifici. Per ulteriori informazioni, consulta AmazonECS_ FullAccess nel Managed Policy Reference.AWS
Autorizzazioni per la creazione di ruoli IAM
Le operazioni seguenti richiedono autorizzazioni aggiuntive per completare l'operazione:
-
Registrazione di un'istanza esterna: per ulteriori informazioni, consulta Ruolo IAM di Amazon ECS Anywhere
-
Registrazione di una definizione di attività: per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS
-
Creazione di una EventBridge regola da utilizzare per la pianificazione delle attività: per ulteriori informazioni, consulta Ruolo EventBridge IAM di Amazon ECS
Puoi aggiungere queste autorizzazioni creando un ruolo in IAM prima di utilizzarle nella console Amazon ECS. Se non crei i ruoli, la console Amazon ECS li crea per tuo conto.
Autorizzazioni necessarie per registrare un'istanza esterna in un cluster
Hai bisogno di autorizzazioni aggiuntive quando registri un'istanza esterna in un cluster e desideri creare un nuovo ruolo di istanza esterna (ecsExternalInstanceRole).
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
-
iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate. -
ssm: consente ai principali di registrare l'istanza esterna con Systems Manager.
Nota
Per scegliere un ruolo ecsExternalInstanceRole esistente, devi disporre delle autorizzazioni iam:GetRole e iam:PassRole.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsExternalInstanceRole.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" } ] }
Autorizzazioni necessarie per la registrazione di una definizione di attività
Hai bisogno di autorizzazioni aggiuntive quando registri una definizione di attività e desideri creare un nuovo ruolo di esecuzione di attività (ecsTaskExecutionRole).
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
-
iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.
Nota
Per scegliere un ruolo ecsTaskExecutionRole esistente, devi disporre dell'autorizzazione iam:GetRole.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsTaskExecutionRole.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
Autorizzazioni necessarie per creare una EventBridge regola per le attività pianificate
Hai bisogno di autorizzazioni aggiuntive quando pianifichi un'attività e desideri creare un nuovo ruolo CloudWatch Events role (). ecsEventsRole
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
-
iam: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate e di permettere ad Amazon ECS di trasmettere il ruolo ad altri servizi affinché lo assumano.
Nota
Per scegliere un ruolo ecsEventsRole esistente, devi disporre delle autorizzazioni iam:GetRole e iam:PassRole.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo ecsEventsRole.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
Autorizzazioni necessarie per visualizzare le distribuzioni dei servizi
Se si segue la best practice di concessione del privilegio minimo, è necessario aggiungere autorizzazioni aggiuntive per visualizzare le distribuzioni dei servizi nella console.
È necessario accedere alle seguenti azioni:
ListServiceDeployments
DescribeServiceDeployments
DescribeServiceRevisions
È necessario accedere alle seguenti risorse:
Servizio
Distribuzione del servizio
Revisione del servizio
La seguente politica di esempio contiene le autorizzazioni richieste e limita le azioni a un servizio specificato.
Sostituisci accountcluster-name, e service-name con i tuoi valori.
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ListServiceDeployments", "ecs:DescribeServiceDeployments", "ecs:DescribeServiceRevisions" ], "Resource": [ "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name", "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*", "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*" ] } ] }
Autorizzazioni necessarie per visualizzare gli eventi del ciclo di vita di Amazon ECS in Approfondimenti sui container
Per visualizzare gli eventi del ciclo di vita sono necessarie le seguenti autorizzazioni. Aggiungi le seguenti autorizzazioni come politica in linea al ruolo. Per ulteriori informazioni, consulta Aggiunta e rimozione delle policy IAM.
-
eventi: DescribeRule
-
eventi: ListTargetsByRule
-
registri: DescribeLogGroups
Autorizzazioni necessarie per abilitare gli eventi del ciclo di vita di Amazon ECS in Container Insights
Per configurare gli eventi del ciclo di vita sono necessarie le seguenti autorizzazioni:
-
eventi: PutRule
-
eventi: PutTargets
-
registri: CreateLogGroup
