Migrazione alla policy gestita da AmazonECS_FullAccess - Amazon Elastic Container Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Migrazione alla policy gestita da AmazonECS_FullAccess

La policy IAM gestita da AmazonEC2ContainerServiceFullAccess è stata gradualmente eliminata a partire dal 29 gennaio 2021, in risposta a un risultato di sicurezza con l'autorizzazione iam:passRole. Questa autorizzazione consente di accedere a tutte le risorse, incluse le credenziali ai ruoli nell'account. Ora che la policy è stata eliminata gradualmente, non sarà più possibile collegarla a nuovi gruppi, utenti o ruoli. Qualsiasi gruppo, utente o ruolo che dispone già della policy collegata può continuare a utilizzarla. Tuttavia, consigliamo di aggiornare i gruppi, gli utenti o i ruoli perché utilizzino invece la policy gestita da AmazonECS_FullAccess.

Le autorizzazioni concesse dalla policy AmazonECS_FullAccess includono l'elenco completo di autorizzazioni necessarie per utilizzare ECS come amministratore. Se si utilizzano attualmente le autorizzazioni concesse dalla policy AmazonEC2ContainerServiceFullAccess che non sono nella policy AmazonECS_FullAccess, è possibile aggiungerle a un'istruzione della policy in linea. Per ulteriori informazioni, consulta AWS politiche gestite per Amazon Elastic Container Service.

Utilizza la seguente procedura per determinare se disponi di gruppi, utenti o ruoli che attualmente utilizzano la policy IAM gestita da AmazonEC2ContainerServiceFullAccess. Quindi, aggiornali per scollegare la policy precedente e collega la policy AmazonECS_FullAccess.

Per aggiornare un gruppo, un utente o un ruolo per utilizzare la politica di AmazonECS_ () FullAccess Console di gestione AWS

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Policy e cerca e seleziona la policy AmazonEC2ContainerServiceFullAccess.

  3. Seleziona la scheda Utilizzo della policy che riporta qualsiasi ruolo IAM che sta attualmente utilizzando questa policy.

  4. Per ogni ruolo IAM che sta correntemente utilizzando la policy AmazonEC2ContainerServiceFullAccess, seleziona il ruolo e completa la seguente procedura per scollegare la policy eliminata gradualmente e collegare la policy AmazonECS_FullAccess.

    1. Nella scheda Autorizzazioni, scegli la X accanto alla EC2 ContainerServiceFullAccess politica di Amazon.

    2. Scegli Add Permissions (Aggiungi autorizzazioni).

    3. Scegli Allega direttamente le politiche esistenti, cerca e seleziona la FullAccess politica AmazoneCS_, quindi scegli Avanti: revisione.

    4. Rivedi le modifiche e scegli Aggiungi autorizzazioni.

    5. Ripeti questa procedura per ogni gruppo, utente o ruolo che utilizza la policy AmazonEC2ContainerServiceFullAccess.

Aggiornamento di un gruppo, un utente o un ruolo per utilizzare la policy AmazonECS_FullAccess (AWS CLI)

  1. Usa il comando generate-service-last-accessed-details per generare un report che includa i dettagli relativi all'ultimo utilizzo della policy eliminata gradualmente.

    aws iam generate-service-last-accessed-details \
     --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    Output di esempio:

    {
    "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
}

  2. Utilizza l'ID processo dell'output precedente con il comando get-service-last-accessed-details per recuperare l'ultimo report accessibile del servizio. Questo report visualizza il nome della risorsa Amazon (ARN) delle entità IAM che hanno utilizzato per l'ultima volta la policy eliminata gradualmente.

    aws iam get-service-last-accessed-details \
      --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE

  3. Usa uno dei seguenti comandi per scollegare la policy AmazonEC2ContainerServiceFullAccess da un gruppo, un utente o un ruolo.

  4. Usa uno dei seguenti comandi per collegare la policy AmazonECS_FullAccess a un gruppo, un utente o un ruolo.