Migrazione alla policy gestita da AmazonECS_FullAccess - Amazon Elastic Container Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Migrazione alla policy gestita da AmazonECS_FullAccess

La policy IAM gestita da AmazonEC2ContainerServiceFullAccess è stata gradualmente eliminata a partire dal 29 gennaio 2021, in risposta a un risultato di sicurezza con l'autorizzazione iam:passRole. Questa autorizzazione consente di accedere a tutte le risorse, incluse le credenziali ai ruoli nell'account. Ora che la policy è stata eliminata gradualmente, non sarà più possibile collegarla a nuovi gruppi, utenti o ruoli. Qualsiasi gruppo, utente o ruolo che dispone già della policy collegata può continuare a utilizzarla. Tuttavia, consigliamo di aggiornare i gruppi, gli utenti o i ruoli perché utilizzino invece la policy gestita da AmazonECS_FullAccess.

Le autorizzazioni concesse dalla policy AmazonECS_FullAccess includono l'elenco completo di autorizzazioni necessarie per utilizzare ECS come amministratore. Se attualmente utilizzi autorizzazioni concesse dalla AmazonEC2ContainerServiceFullAccess politica che non sono incluse nella AmazonECS_FullAccess politica, puoi aggiungerle a una dichiarazione politica in linea. Per ulteriori informazioni, consulta AWS politiche gestite per Amazon Elastic Container Service.

Utilizza la seguente procedura per determinare se disponi di gruppi, utenti o ruoli che attualmente utilizzano la policy IAM gestita da AmazonEC2ContainerServiceFullAccess. Quindi, aggiornali per scollegare la policy precedente e collega la policy AmazonECS_FullAccess.

Per aggiornare un gruppo, un utente o un ruolo per utilizzare la policy di FullAccess AmazoneCS_ ()AWS Management Console

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Policy e cerca e seleziona la policy AmazonEC2ContainerServiceFullAccess.

  3. Seleziona la scheda Utilizzo della policy che riporta qualsiasi ruolo IAM che sta attualmente utilizzando questa policy.

  4. Per ogni ruolo IAM che attualmente utilizza la AmazonEC2ContainerServiceFullAccess policy, seleziona il ruolo e segui i seguenti passaggi per scollegare la policy eliminata gradualmente e allegarla. AmazonECS_FullAccess

    1. Nella scheda Autorizzazioni, scegli la X accanto alla EC2 ContainerServiceFullAccess politica di Amazon.

    2. Scegli Aggiungi autorizzazioni.

    3. Scegli Allega direttamente le politiche esistenti, cerca e seleziona la FullAccess politica AmazoneCS_, quindi scegli Avanti: revisione.

    4. Rivedi le modifiche e scegli Aggiungi autorizzazioni.

    5. Ripeti questa procedura per ogni gruppo, utente o ruolo che utilizza la policy AmazonEC2ContainerServiceFullAccess.

Aggiornamento di un gruppo, un utente o un ruolo per utilizzare la policy AmazonECS_FullAccess (AWS CLI)

  1. Utilizza il generate-service-last-accessed-detailscomando per generare un report che includa dettagli sull'ultima volta in cui è stata utilizzata la politica di eliminazione graduale.

    aws iam generate-service-last-accessed-details \
     --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    Output di esempio:

    {
    "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
}

  2. Utilizzate l'ID del lavoro dell'output precedente con il get-service-last-accessed-detailscomando per recuperare l'ultimo report del servizio a cui si accede. Questo report mostra l'Amazon Resource Name (ARN) delle entità IAM che hanno utilizzato per l'ultima volta la politica di eliminazione graduale.

    aws iam get-service-last-accessed-details \
      --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE

  3. Usa uno dei seguenti comandi per scollegare la policy AmazonEC2ContainerServiceFullAccess da un gruppo, un utente o un ruolo.

  4. Usa uno dei seguenti comandi per collegare la policy AmazonECS_FullAccess a un gruppo, un utente o un ruolo.