AmazonECS_FullAccess 管理ポリシーへの移行 - Amazon Elastic Container Service

AmazonECS_FullAccess 管理ポリシーへの移行

AmazonEC2ContainerServiceFullAccess 管理 IAM ポリシーは、2021 年 1 月 29 日に段階的に廃止されました。これは、iam:passRole アクセス許可で発見されたセキュリティへの対応です。このアクセス許可は、アカウント内のロールへの認証情報を含むすべてのリソースへのアクセスを許可します。ポリシーが廃止されると、新しいグループ、ユーザー、またはロールにポリシーをアタッチできなくなります。すでにポリシーがアタッチされているグループ、ユーザー、またはロールは、引き続きそのポリシーを使用できます。ただし、グループ、ユーザー、またはロールを更新して、AmazonECS_FullAccess が管理するポリシーを代わりに使用することをお勧めします。

AmazonECS_FullAccess によって付与される許可には、ECS を管理者として使用するために必要なアクセス許可の完全なリストが含まれます。AmazonECS_FullAccess ポリシーにはない AmazonEC2ContainerServiceFullAccess ポリシーによって付与されているアクセス許可を現在使用している場合、それらをインラインポリシーステートメントに追加できます。詳細については、「Amazon Elastic Container Service に関する AWS 管理ポリシー」を参照してください。

現在 AmazonEC2ContainerServiceFullAccess 管理 IAM ポリシーを使用しているグループ、ユーザー、またはロールがあるかを判断するには、次のステップを使用します。次に、これらのポリシーを更新して以前のポリシーをデタッチし、AmazonECS_FullAccess ポリシーをアタッチします。

AmazonECS_FullAccess ポリシーを使用するようにグループ、ユーザー、またはロールを更新するには (AWS Management Console)

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Policies] を選択し、AmazonEC2ContainerServiceFullAccess ポリシーを検索して選択します。

  3. [Policy usage (ポリシーの使用)] タブを選択すると、現在このポリシーを使用している IAM ロールが表示されます。

  4. 現在 AmazonEC2ContainerServiceFullAccess ポリシーを使用している IAM ロールごとに、ロールを選択し、次の手順を使用して段階的廃止されるポリシーをデタッチし、AmazonECS_FullAccess ポリシーをアタッチします。

    1. [Permissions] (許可) タブで、AmazonEC2ContainerServiceFullAccess ポリシーの横にある X を選択します。

    2. [Add permissions (許可の追加)] を選択します。

    3. [Attach existing policies directly] を選択し、AmazonECS_FullAccess ポリシーを検索してクリックして、[Next: Review] を選択します。

    4. 変更を確認し、[Add permissions] を選択します。

    5. AmazonEC2ContainerServiceFullAccess ポリシーを使用しているグループ、ユーザー、またはロールごとに、これらの手順を繰り返します。

AmazonECS_FullAccess ポリシーを使用するようにグループ、ユーザー、またはロールを更新するには (AWS CLI)

  1. generate-service-last-accessed-details コマンドを使用して、段階的に廃止されたポリシーが最後に使用された日時に関する詳細を含むレポートを生成します。

    aws iam generate-service-last-accessed-details \
     --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess

    出力例:

    {
    "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
}

  2. get-service-last-accessed-details コマンドを使用して、前回の出力のジョブ ID を指定すると、サービスの最終アクセスレポートを取得できます。このレポートには、段階的に廃止されたポリシーを最後に使用した IAM エンティティの Amazon リソースネーム (ARN) が表示されます。

    aws iam get-service-last-accessed-details \
      --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE

  3. グループ、ユーザー、またはロールから AmazonEC2ContainerServiceFullAccess ポリシーをデタッチするには、次のコマンドのいずれかを使用します。

  4. AmazonECS_FullAccess ポリシーをグループ、ユーザー、またはロールにアタッチするには、次のコマンドのいずれかを使用します。