Policy gestite da AWS per Amazon Elastic Container Service
Per aggiungere le autorizzazioni a utenti, gruppi e ruoli, è più semplice utilizzare policy gestite da AWS piuttosto che scrivere autonomamente le policy. La creazione di policy gestite dai clienti IAM che forniscono al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, utilizza le nostre policy gestite da AWS. Queste policy coprono i casi d'uso più comuni e sono disponibili nel tuo account AWS. Per ulteriori informazioni sulle policy gestite da AWS, consulta Policy gestite da AWS nella Guida per l'utente di IAM.
I servizi AWS mantengono e aggiornano le policy gestite da AWS. Non è possibile modificare le autorizzazioni nelle policy gestite da AWS. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy gestita da AWS, pertanto gli aggiornamenti delle policy non interrompono le autorizzazioni esistenti.
Inoltre, AWS supporta policy gestite per le funzioni di processi che coprono più servizi. Ad esempio, la policy gestita da AWS ReadOnlyAccess fornisce accesso in sola lettura a tutti i servizi e le risorse AWS. Quando un servizio avvia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l'elenco e la descrizione delle policy di funzione dei processi, consulta la sezione Policy gestite da AWS per funzioni di processi nella Guida per l'utente di IAM.
Amazon ECS e Amazon ECR forniscono diverse policy gestite e relazioni di attendibilità che possono essere collegate a utenti, gruppi, ruoli, istanze Amazon EC2 e attività di Amazon ECS che consentono diversi livelli di controllo sulle risorse e sulle operazioni API. Puoi applicare queste policy direttamente oppure utilizzarle come punto di partenza per la creazione di tue policy. Per ulteriori informazioni sulle policy gestite da Amazon ECR, consulta Policy gestite da Amazon ECR.
AmazonECS_FullAccess
È possibile allegare la policy AmazonECS_FullAccess alle identità IAM. Questa policy concede l'accesso amministrativo alle risorse Amazon ECS e concede a un'identità IAM (ad esempio un utente, un gruppo o un ruolo) l'accesso ai servizi AWS con cui è integrato Amazon ECS per utilizzare tutte le funzioni di Amazon ECS. L'utilizzo di questa policy consente di accedere a tutte le funzioni Amazon ECS disponibili nella AWS Management Console.
Per vedere le autorizzazioni per questa policy, consulta AmazonECS_FullAccess nella Guida di riferimento sulle policy gestite da AWS.
Policy del ruolo dell'infrastruttura Amazon ECS per i volumi
Puoi collegare la policy gestita AmazonECSInfrastructureRolePolicyForVolumes anche alle tue entità IAM.
La policy da concede le autorizzazioni necessarie ad Amazon ECS per effettuare chiamate API AWS per tuo conto. È possibile associare questa policy al ruolo IAM fornito con la configurazione del volume quando si avviano attività e servizi Amazon ECS. Questo ruolo consente ad Amazon ECS di gestire i volumi associati alle attività. Per ulteriori informazioni, consulta Ruolo IAM dell'infrastruttura per Amazon ECS.
Per visualizzare le autorizzazioni di questa policy, consulta AmazonECSInfrastructureRolePolicyForVolumes nella Guida di riferimento sulle policy gestite da AWS
AmazonEC2ContainerServiceforEC2Role
È possibile allegare la policy AmazonEC2ContainerServiceforEC2Role alle identità IAM. Questa policy concede autorizzazioni amministrative che consentono alle istanze di container Amazon ECS di effettuare chiamate a AWS per tuo conto. Per ulteriori informazioni, consulta Ruolo IAM delle istanze di container Amazon ECS.
Amazon ECS collega questa policy a un ruolo di servizio che consente ad Amazon ECS di eseguire operazioni per tuo conto rispetto a istanze Amazon EC2 o istanze esterne.
Per vedere le autorizzazioni per questa policy, consulta AmazonEC2ContainerServiceforEC2Role nella Guida di riferimento sulle policy gestite da AWS.
Considerazioni
È opportuno considerare i seguenti suggerimenti e considerazioni quando usi la policy IAM gestita da AmazonEC2ContainerServiceforEC2Role.
-
Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, è possibile modificare la policy gestita da
AmazonEC2ContainerServiceforEC2Roleper soddisfare le esigenze specifiche. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste. Ad esempio, l'autorizzazioneUpdateContainerInstancesStateè fornita per lo svuotamento dell'istanza Spot. Se tale autorizzazione non è necessaria per il tuo caso d'uso, escludila utilizzando una policy personalizzata. -
I container in esecuzione sulle tue istanze di container hanno accesso a tutte le autorizzazioni che vengono fornite al ruolo dell'istanza di container tramite i metadati dell'istanza. Consigliamo di limitare le autorizzazioni nel ruolo dell'istanza di container all'elenco minimo delle autorizzazioni fornito nella policy
AmazonEC2ContainerServiceforEC2Rolegestita. Se i container nei tuoi processi hanno bisogno di autorizzazioni aggiuntive non elencate di seguito, ti consigliamo di fornire a tali processi i relativi ruoli IAM. Per ulteriori informazioni, consulta Ruolo IAM dell'attività Amazon ECS.È possibile impedire ai contenitori nel bridge
docker0l'accesso alle autorizzazioni fornite al ruolo dell'istanza di container. È possibile farlo pur concedendo le autorizzazioni fornite da Ruolo IAM dell'attività Amazon ECS eseguendo il seguente comando iptables sulle istanze del container. I container non possono eseguire query sui metadati dell'istanza con questa regola in vigore. Questo comando presuppone la configurazione del bridge Docker di default e non funziona per i container che utilizzano la modalità di retehost. Per ulteriori informazioni, consulta Modalità di rete.sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROPPer fare in modo che la regola iptables venga conservata dopo un riavvio, devi salvarla sull'istanza di container. Per l'AMI ottimizzata per Amazon ECS, utilizza il comando riportato di seguito. Per gli altri sistemi operativi, consulta la relativa documentazione specifica.
-
Per l'AMI Amazon Linux 2 ottimizzata per Amazon ECS:
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables -
Per l'AMI Amazon Linux ottimizzata per Amazon ECS:
sudo service iptables save
-
AmazonEC2ContainerServiceEventsRole
È possibile allegare la policy AmazonEC2ContainerServiceEventsRole alle identità IAM. Questa policy concede le autorizzazioni che consentono ad Amazon EventBridge (precedentemente CloudWatch Events) di eseguire processi per tuo conto. Questa policy può essere associata al ruolo IAM specificato quando si creano processi pianificati. Per ulteriori informazioni, consulta Ruolo IAM EventBridge di Amazon ECS.
Per vedere le autorizzazioni per questa policy, consulta AmazonEC2ContainerServiceEventsRole nella Guida di riferimento sulle policy gestite da AWS.
AmazonECSTaskExecutionRolePolicy
La policy IAM gestita da AmazonECSTaskExecutionRolePolicy concede le autorizzazioni necessarie all'agente di container Amazon ECS e agli agenti di container AWS Fargate di effettuare chiamate all'API AWS per tuo conto. Questa policy può essere aggiunta al ruolo IAM di esecuzione del processo. Per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS.
Per vedere le autorizzazioni per questa policy, consulta AmazonECSTaskExecutionRolePolicy nella Guida di riferimento sulle policy gestite da AWS.
AmazonECSServiceRolePolicy
La policy IAM gestita AmazonECSServiceRolePolicy consente ad Amazon Elastic Container Service di gestire il cluster. Questa policy può essere aggiunta al tuo ruolo collegato al servizio AWSServiceRoleForECS.
Per vedere le autorizzazioni per questa policy, consulta AmazonECSServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.
AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
Puoi collegare la policy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity anche alle tue entità IAM. Questa policy garantisce l'accesso come amministratore a AWS Private Certificate Authority, Secrets Manager e altri servizi AWS necessari per gestire le funzionalità TLS di Amazon ECS Service Connect per tuo conto.
Per visualizzare le autorizzazioni di questa policy, consulta AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity nella Guida di riferimento sulle policy gestite da AWS
AWSApplicationAutoscalingECSServicePolicy
Non è possibile collegare AWSApplicationAutoscalingECSServicePolicy alle entità IAM. Questa policy è collegata a un ruolo collegato ai servizi che consente ad Application Auto Scaling di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Application Auto Scaling.
Per visualizzare le autorizzazioni per questa policy, consultare AWSApplicationAutoscalingECSServicePolicy nella Guida di riferimento della policy gestita AWS.
AWSCodeDeployRoleForECS
Non è possibile collegare AWSCodeDeployRoleForECS alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente a CodeDeploy di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Creazione di un ruolo di servizio per CodeDeploy nella Guida per l'utente di AWS CodeDeploy.
Per visualizzare le autorizzazioni per questa policy, consultare AWSCodeDeployRoleForECS nella Guida di riferimento della policy gestita AWS.
AWSCodeDeployRoleForECSLimited
Non è possibile collegare AWSCodeDeployRoleForECSLimited alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente a CodeDeploy di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Creazione di un ruolo di servizio per CodeDeploy nella Guida per l'utente di AWS CodeDeploy.
Per visualizzare le autorizzazioni per questa policy, consultare AWSCodeDeployRoleForECSLimited nella Guida di riferimento della policy gestita AWS.
AmazonECSInfrastructureRolePolicyForLoadBalancers
Puoi collegare la policy AmazonECSInfrastructureRolePolicyForLoadBalancers anche alle tue entità IAM. Questa policy concede le autorizzazioni che permettono ad Amazon ECS di gestire le risorse Elastic Load Balancing per tuo conto. La policy comprende:
-
Autorizzazioni di sola lettura per descrivere listener, regole, gruppi di destinazione e stato della destinazione
-
Autorizzazioni per registrare e annullare la registrazione delle destinazioni presso i gruppi di destinazione
-
Autorizzazioni per modificare i listener per Application Load Balancer e Network Load Balancer
-
Autorizzazioni per modificare le regole per Application Load Balancer
Queste autorizzazioni permettono ad Amazon ECS di gestire automaticamente le configurazioni del bilanciatore del carico quando i servizi vengono creati o aggiornati, garantendo il corretto instradamento del traffico verso i container.
Per visualizzare le autorizzazioni di questa policy, consulta AmazonECSInfrastructureRolePolicyForLoadBalancers nella Guida di riferimento sulle policy gestite da AWS
AmazonECSInfrastructureRolePolicyForManagedInstances
Puoi collegare la policy AmazonECSInfrastructureRolePolicyForManagedInstances anche alle tue entità IAM. Questa policy concede le autorizzazioni richieste da Amazon ECS per creare e aggiornare le risorse Amazon EC2 per le istanze gestite da ECS per tuo conto. La policy comprende:
-
Autorizzazioni per creare e gestire modelli di avvio Amazon EC2 per le istanze gestite
-
Autorizzazioni per il provisioning delle istanze Amazon EC2 usando CreateFleet e RunInstances
-
Autorizzazioni per creare e gestire tag sulle risorse Amazon EC2 create da ECS
-
Autorizzazioni per trasferire i ruoli IAM alle istanze Amazon EC2 per istanze gestite
-
Autorizzazioni per creare ruoli collegati ai servizi per le istanze spot di Amazon EC2
-
Autorizzazioni di sola lettura per descrivere le risorse Amazon EC2, tra cui istanze, tipi di istanze, modelli di avvio, interfacce di rete, zone di disponibilità, gruppi di sicurezza, sottoreti e VPC
Queste autorizzazioni permettono ad Amazon ECS di effettuare il provisioning e gestire automaticamente le istanze Amazon EC2 per le istanze gestite da ECS, garantendo una configurazione e una gestione corrette del ciclo di vita delle risorse di elaborazione sottostanti.
Per visualizzare le autorizzazioni di questa policy, consulta AmazonECSInfrastructureRolePolicyForManagedInstances nella Guida di riferimento sulle policy gestite da AWS
AmazonECSInfrastructureRolePolicyForVpcLattice
Puoi collegare la policy AmazonECSInfrastructureRolePolicyForVpcLattice anche alle tue entità IAM. Questa policy fornisce l'accesso ad altre risorse del servizio AWS necessarie per gestire la funzionalità VPC Lattice nei carichi di lavoro Amazon ECS per tuo conto.
Per visualizzare le autorizzazioni di questa policy, consulta AmazonECSInfrastructureRolePolicyForVpcLattice nella Guida di riferimento sulle policy gestite da AWS
Fornisce l'accesso ad altre risorse del servizio AWS necessarie per gestire la funzionalità VPC Lattice nei carichi di lavoro Amazon ECS per tuo conto.
AmazonECSComputeServiceRolePolicy
La policy AmazonECSComputeServiceRolePolicy è attribuita al ruolo collegato ai servizi AmazonECSComputeServiceRole. Per ulteriori informazioni, consulta Uso dei ruoli per gestire le istanze gestite da Amazon ECS.
Questa policy include le autorizzazioni che consentono ad Amazon ECS di completare le attività seguenti:
-
Amazon ECS può descrivere ed eliminare i modelli di avvio.
-
Amazon ECS può descrivere ed eliminare le versioni dei modelli di avvio.
-
Amazon ECS può terminare le istanze.
-
Amazon ECS può descrivere i seguenti parametri dei dati delle istanze:
-
Istanza
-
Interfacce di rete dell'istanza: Amazon ECS può descrivere la gestione del ciclo di vita dell'istanza EC2.
-
Finestra di eventi dell'istanza: Amazon ECS può descrivere le informazioni sulla finestra di eventi per determinare se il flusso di lavoro può essere interrotto per l'applicazione di patch all'istanza.
-
Stato dell'istanza: Amazon ECS può descrivere lo stato dell'istanza per monitorarne l'integrità.
-
Per vedere le autorizzazioni per questa policy, consulta AmazonECSComputeServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.
AmazonECSInstanceRolePolicyForManagedInstances
La policy AmazonECSInstanceRolePolicyForManagedInstances fornisce le autorizzazioni necessarie alle istanze gestite da Amazon ECS per registrarsi nei cluster Amazon ECS e comunicare con il servizio Amazon ECS.
Questa policy include le autorizzazioni che consentono alle istanze gestite da Amazon ECS di completare le attività seguenti:
-
Effettuare e annullare la registrazione con i cluster Amazon ECS.
-
Inviare le modifiche dello stato delle istanze di container.
-
Inviare le modifiche allo stato dell'attività.
-
Scoprire gli endpoint di polling per l'agente Amazon ECS.
Per visualizzare le autorizzazioni di questa policy, consulta AmazonECSInstanceRolePolicyForManagedInstances nella Guida di riferimento sulle policy gestite da AWS
Aggiornamenti di Amazon ECS alle policy gestite da AWS
Visualizza i dettagli sugli aggiornamenti alle policy gestite da AWS per Amazon ECS da quando questo servizio ha iniziato a tenere traccia delle modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS sulla pagina della cronologia dei documenti di Amazon ECS.
| Modifica | Descrizione | Data |
|---|---|---|
|
Aggiunto nuovo AmazonECSInstanceRolePolicyForManagedInstances |
È stata aggiunta una nuova policy AmazonECSInstanceRolePolicyForManagedInstances che fornisce le autorizzazioni per la registrazione delle istanze gestite da Amazon ECS con i cluster Amazon ECS. | 30 settembre 2025 |
|
Aggiunto nuovo AmazonECSInfrastructureRolePolicyForManagedInstances |
Aggiunta una nuova policy AmazonECSInfrastructureRolePolicyForManagedInstances che fornisce l'accesso ad Amazon ECS per creare e organizzare risorse gestite da Amazon EC2. | 30 settembre 2025 |
|
Aggiungi una nuova AmazonECSComputeServiceRolePolicy |
Permette ad Amazon ECS di gestire le istanze gestite da Amazon ECS e le relative risorse. | 31 agosto 2025 |
|
Aggiunta di autorizzazioni a AmazonEC2ContainerServiceforEC2Role |
La policy IAM gestita AmazonEC2ContainerServiceforEC2Role è stata aggiornata per includere l'autorizzazione ecs:ListTagsForResource. Questa autorizzazione consente all'agente Amazon ECS di recuperare i tag delle attività e delle istanze di container tramite l'endpoint dei metadati delle attività (${ECS_CONTAINER_METADATA_URI_V4}/taskWithTags). |
4 agosto 2025 |
|
Aggiunte autorizzazioni a AmazonECSInfrastructureRolePolicyForLoadBalancers. |
La policy IAM gestita AmazonECSInfrastructureRolePolicyForLoadBalancers è stata aggiornata con nuove autorizzazioni per la descrizione, l'annullamento della registrazione e la registrazione dei gruppi di destinazione. |
25 luglio 2025 |
|
Aggiunta nuova policy AmazonECSInfrastructureRolePolicyForLoadBalancers |
Aggiunta la nuova policy AmazonECSInfrastructureRolePolicyForLoadBalancers che fornisce l'accesso ad altre risorse di servizio AWS necessarie per gestire i bilanciatori del carico associati ai carichi di lavoro Amazon ECS. |
15 luglio 2025 |
|
Aggiunta di autorizzazioni ad AmazonECSServiceRolePolicy. |
La policy IAM gestita AmazonECSServiceRolePolicy è stata aggiornata con nuove autorizzazioni AWS Cloud Map con cui Amazon ECS può aggiornare gli attributi di servizio AWS Cloud Map per i servizi gestiti da Amazon ECS. |
15 luglio 2025 |
|
Aggiunta di autorizzazioni ad AmazonECSServiceRolePolicy |
La policy IAM gestita AmazonECSServiceRolePolicy è stata aggiornata con nuove autorizzazioni AWS Cloud Map con cui Amazon ECS può aggiornare gli attributi di servizio AWS Cloud Map per i servizi gestiti da Amazon ECS. |
24 giugno 2025 |
|
Aggiunte autorizzazioni ad AmazonECSInfrastructureRolePolicyForVolumes |
La policy AmazonECSInfrastructureRolePolicyForVolumes è stata aggiornata per aggiungere l'autorizzazione ec2:DescribeInstances. L'autorizzazione aiuta a prevenire la collisione dei nomi dei dispositivi per i volumi Amazon EBS collegati alle attività di Amazon ECS eseguite sulla stessa istanza di container. |
2 giugno 2025 |
|
Aggiungi una nuova AmazonECSInfrastructureRolePolicyForVpcLattice |
Fornisce l'accesso ad altre risorse del servizio AWS necessarie per gestire la funzionalità VPC Lattice nei carichi di lavoro Amazon ECS per tuo conto. | 18 novembre 2024 |
|
Aggiunte autorizzazioni ad AmazonECSInfrastructureRolePolicyForVolumes |
La policy AmazonECSInfrastructureRolePolicyForVolumes è stata aggiornata per consentire ai clienti di creare un volume Amazon EBS da uno snapshot. |
10 ottobre 2024 |
|
Autorizzazioni aggiunte a AmazonECS_FullAccess |
La policy AmazonECS_FullAccess è stata aggiornata per aggiungere le autorizzazioni iam:PassRole per i ruoli IAM per un ruolo denominato ecsInfrastructureRole. Questo è il ruolo IAM predefinito creato dalla AWS Management Console che deve essere utilizzato come ruolo dell'infrastruttura ECS e consente ad Amazon ECS di gestire i volumi Amazon EBS collegati alle attività di ECS. |
13 agosto 2024 |
|
Aggiungi nuova policy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity |
Aggiunta la nuova policy AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity che fornisce l'accesso amministrativo ad AWS KMS, AWS Private Certificate Authority e Secrets Manager, oltre a consentire il corretto funzionamento delle funzionalità TLS di Amazon ECS Service Connect. |
22 gennaio 2024 |
|
Aggiungi una nuova policy AmazonECSInfrastructureRolePolicyForVolumes |
La policy AmazonECSInfrastructureRolePolicyForVolumes è stata aggiunta. La policy concede le autorizzazioni necessarie ad Amazon ECS per effettuare chiamate API AWS per gestire i volumi Amazon EBS associati ai carichi di lavoro Amazon ECS. |
11 gennaio 2024 |
|
Aggiunta di autorizzazioni ad AmazonECSServiceRolePolicy |
La policy IAM gestita AmazonECSServiceRolePolicy è stata aggiornata con nuove autorizzazioni events e autorizzazioni autoscaling e autoscaling-plans aggiuntive. |
4 dicembre 2023 |
|
Aggiunta di autorizzazioni ad AmazonEC2ContainerServiceEventsRole |
La policy IAM AmazonECSServiceRolePolicy gestita è stata aggiornata per consentire l'accesso all'operazione API DiscoverInstancesRevision di AWS Cloud Map. |
4 ottobre 2023 |
|
Aggiunta di autorizzazioni ad AmazonEC2ContainerServiceforEC2Role |
La policy AmazonEC2ContainerServiceforEC2Role è stata modificata per aggiungere l'autorizzazione ecs:TagResource, che include una condizione che limita l'autorizzazione solo ai cluster appena creati e alle istanze di container appena registrate. |
6 marzo 2023 |
|
Aggiunta di autorizzazioni a AmazonECS_FullAccess |
La policy AmazonECS_FullAccess è stata modificata per aggiungere l'autorizzazione elasticloadbalancing:AddTags che include una condizione che limita l'autorizzazione solo ai bilanciatori del carico appena creati, ai gruppi di destinazione, alle regole e agli ascoltatori creati. Questa autorizzazione non consente l'aggiunta di tag a risorse Elastic Load Balancing già create. |
4 gennaio 2023 |
|
Amazon ECS ha cominciato a tenere traccia delle modifiche |
Amazon ECS ha cominciato a tenere traccia delle modifiche per le sue policy gestite da AWS. |
8 giugno 2021 |
