Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autorizzazioni necessarie per la console Amazon ECS
Seguendo la best practice per concedere il privilegio minimo, è possibile utilizzare la policy gestita di `AmazonECS_FullAccess` come modello per la creazione di policy personalizzate. In questo modo, è possibile rimuovere o aggiungere autorizzazioni da e verso le policy gestite in base ai requisiti specifici. *Per ulteriori informazioni, consulta [AmazoneCS\_ FullAccess nel Managed Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) Reference.AWS *
## Autorizzazioni per la creazione di ruoli IAM
Le operazioni seguenti richiedono autorizzazioni aggiuntive per completare l'operazione:
+ Registrazione di un'istanza esterna: per ulteriori informazioni, consulta [Ruolo IAM di Amazon ECS Anywhere](iam-role-ecsanywhere.md)
+ Registrazione di una definizione di attività: per ulteriori informazioni, consulta [Ruolo IAM di esecuzione di attività Amazon ECS](task_execution_IAM_role.md)
+ Creazione di una EventBridge regola da utilizzare per la pianificazione delle attività: per ulteriori informazioni, consulta [Ruolo EventBridge IAM di Amazon ECS](CWE_IAM_role.md)
Puoi aggiungere queste autorizzazioni creando un ruolo in IAM prima di utilizzarle nella console Amazon ECS. Se non crei i ruoli, la console Amazon ECS li crea per tuo conto.
## Autorizzazioni necessarie per la registrazione di un'istanza esterna in un cluster
Hai bisogno di autorizzazioni aggiuntive quando registri un'istanza esterna in un cluster e desideri creare un nuovo ruolo di istanza esterna (`ecsExternalInstanceRole`).
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
+ `iam`: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.
+ Io sono: AttachRolePolicy
+ sono: CreateRole
+ sono: CreateInstanceProfile
+ sono: AddRoleToInstanceProfile
+ sono: ListInstanceProfilesForRole
+ sono: GetRole
+ `ssm`: consente ai principali di registrare l'istanza esterna con Systems Manager.
**Nota**
Per scegliere un ruolo `ecsExternalInstanceRole` esistente, devi disporre delle autorizzazioni `iam:GetRole` e `iam:PassRole`.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo `ecsExternalInstanceRole`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:ListInstanceProfilesForRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole","ssm:CreateActivation"],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
}
]
}
```
------
## Autorizzazioni necessarie per la registrazione di una definizione di attività
Hai bisogno di autorizzazioni aggiuntive quando registri una definizione di attività e desideri creare un nuovo ruolo di esecuzione di attività (`ecsTaskExecutionRole`).
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
+ `iam`: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate.
+ sono: AttachRolePolicy
+ sono: CreateRole
+ sono: GetRole
**Nota**
Per scegliere un ruolo `ecsTaskExecutionRole` esistente, devi disporre dell'autorizzazione `iam:GetRole`.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo `ecsTaskExecutionRole`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
}
]
}
```
------
## Autorizzazioni necessarie per usare Amazon Q Developer per fornire consigli nella console
Affinché Amazon Q Developer fornisca raccomandazioni nella console Amazon ECS, è necessario abilitare le autorizzazioni IAM corrette per il proprio utente o ruolo IAM. Devi aggiungere l'autorizzazione `codewhisperer:GenerateRecommendations`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperPermissions",
"Effect": "Allow",
"Action": ["codewhisperer:GenerateRecommendations"],
"Resource": "*"
}
]
}
```
------
Per utilizzare la chat in linea nella console Amazon ECS, è necessario abilitare le autorizzazioni IAM corrette per il ruolo o l'utente IAM. Devi aggiungere l'autorizzazione `q:SendMessage`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperInlineChatPermissions",
"Effect": "Allow",
"Action": ["q:SendMessage"],
"Resource": "*"
}
]
}
```
------
## Autorizzazioni necessarie per creare una EventBridge regola per le attività pianificate
Hai bisogno di autorizzazioni aggiuntive quando pianifichi un'attività e desideri creare un nuovo ruolo CloudWatch Events role (`ecsEventsRole`).
Le autorizzazioni aggiuntive elencate di seguito sono obbligatorie:
+ `iam`: consente ai principali di creare ed elencare i ruoli IAM e le relative policy associate e di permettere ad Amazon ECS di trasmettere il ruolo ad altri servizi affinché lo assumano.
**Nota**
Per scegliere un ruolo `ecsEventsRole` esistente, devi disporre delle autorizzazioni `iam:GetRole` e `iam:PassRole`.
La policy seguente contiene le autorizzazioni necessarie e limita le operazioni al ruolo `ecsEventsRole`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/ecsEventsRole"
}
]
}
```
------
## Autorizzazioni richieste per visualizzare le implementazioni del servizio
Quando si segue la best practice della concessione dei privilegi minimi, è necessario aggiungere ulteriori autorizzazioni per visualizzare le implementazioni del servizio nella console.
È necessario accedere alle seguenti azioni:
+ ListServiceDeployments
+ DescribeServiceDeployments
+ DescribeServiceRevisions
È necessario accedere alle seguenti risorse:
+ Servizio
+ Implementazioni del servizio
+ Revisione del servizio
La seguente policy di esempio contiene le autorizzazioni necessarie e limita le operazioni a un servizio specifico.
Sostituire `account`, `cluster-name` e `service-name` con i valori.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ListServiceDeployments",
"ecs:DescribeServiceDeployments",
"ecs:DescribeServiceRevisions"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
"arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
"arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
]
}
]
}
```
------
## Autorizzazioni necessarie per visualizzare gli eventi del ciclo di vita di Amazon ECS in Approfondimenti sui container
Per visualizzare gli eventi del ciclo di vita sono necessarie le seguenti autorizzazioni. Aggiungi le autorizzazioni seguenti come policy in linea al ruolo. Per ulteriori informazioni, consulta [Aggiunta e rimozione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
+ eventi: DescribeRule
+ eventi: ListTargetsByRule
+ registri: DescribeLogGroups
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule",
"logs:DescribeLogGroups"
],
"Resource": "*"
}
]
}
```
------
## Autorizzazioni necessarie per abilitare gli eventi del ciclo di vita di Amazon ECS in Approfondimenti sui container
Per configurare gli eventi del ciclo di vita sono necessarie le seguenti autorizzazioni:
+ eventi: PutRule
+ eventi: PutTargets
+ registri: CreateLogGroup
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets",
"logs:CreateLogGroup"
],
"Resource": "*"
}
]
}
```
------