CloudFormation이 있는 Amazon ECS 콘솔에 필요한 권한 - Amazon Elastic Container Service
클러스터를 생성하는 데 필요한 권한서비스를 생성하는 데 필요한 권한

CloudFormation이 있는 Amazon ECS 콘솔에 필요한 권한

AWS Management 콘솔을 사용하여 리소스를 생성하기 전에 올바른 IAM 권한이 있는지 확인해야 합니다. 일반적으로 Amazon ECS 콘솔에 대한 권한을 설정하는 방법에 대한 자세한 내용은 Amazon ECS 콘솔에 필요한 권한을 참조하세요.

Amazon ECS 콘솔은 AWS CloudFormation을 기반으로 하며 다음과 같은 경우 추가 IAM 권한이 필요합니다.

  • 클러스터 생성

  • 서비스 생성

  • 용량 공급자 생성

추가 권한에 대한 정책을 생성한 다음 콘솔에 액세스하는 데 사용하는 IAM 역할에 연결할 수 있습니다. 자세한 내용은 IAM 사용 설명서에서 IAM 정책 생성을 참조하세요.

클러스터를 생성하는 데 필요한 권한

콘솔에서 클러스터를 생성하는 경우 CloudFormation 스택을 관리할 수 있는 권한을 부여하는 추가 권한이 필요합니다.

다음과 같은 추가 권한이 필요합니다.

  • cloudformation – 보안 주체가 CloudFormation 스택을 생성 및 관리할 수 있습니다. 이는 AWS Management 콘솔 및 이러한 클러스터의 후속 관리 태스크를 사용하여 Amazon ECS 클러스터를 생성할 때 필요합니다.

  • ssm - CloudFormation가 최신 Amazon ECS 최적화 AMI를 참조할 수 있도록 허용합니다. 이는 AWS Management 콘솔를 사용하여 Amazon ECS 클러스터를 생성할 때 필요합니다.

다음 정책은 필요한 CloudFormation 권한을 포함하여 Amazon ECS 콘솔에서 생성된 리소스로 작업을 제한합니다.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack"
             ],
            "Resource": [
                "arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*"
            ]
      },
      {
          "Effect": "Allow",
          "Action": "ssm:GetParameters",
          "Resource": [
            "arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2*/*",
            "arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2023*/*"
          ]
      }
   ]
}

Amazon ECS 컨테이너 인스턴스 역할(ecsInstanceRole)을 생성하지 않고 Amazon EC2 인스턴스를 사용하는 클러스터를 생성하는 경우 콘솔에서 사용자를 대신하여 역할을 생성합니다.

또한 Auto Scaling 그룹을 사용하는 경우에는 클러스터 Auto Scaling 기능을 사용할 때 콘솔이 Auto Scaling 그룹에 태그를 추가할 수 있도록 추가 권한이 필요합니다.

다음과 같은 추가 권한이 필요합니다.

  • autoscaling - 콘솔에서 Amazon EC2 Auto Scaling 그룹에 태그를 지정할 수 있습니다. 클러스터 Auto Scaling 기능을 사용할 때 Amazon EC2 auto scaling을 관리할 때 필요합니다. 태그는 콘솔에서 생성되었음을 나타내기 위해 콘솔이 그룹에 자동으로 추가하는 ECS 관리형 태그입니다.

  • iam – 보안 주체가 IAM 역할 및 연결된 정책을 나열할 수 있습니다. 또한 보안 주체는 Amazon EC2 인스턴스에서 사용 가능한 인스턴스 프로파일을 나열할 수 있습니다.

다음 정책은 필요한 IAM 권한을 포함하여 ecsInstanceRole 역할로 작업을 제한합니다.

Auto Scaling 권한은 제한되지 않습니다.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
            "Action": [
              "iam:AttachRolePolicy",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:AddRoleToInstanceProfile",
              "iam:ListInstanceProfilesForRole",
              "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/ecsInstanceRole"
        },
        {
            "Effect": "Allow",
            "Action": "autoscaling:CreateOrUpdateTags",
            "Resource": "*"
        }
    ]
}

서비스를 생성하는 데 필요한 권한

콘솔에서 서비스를 생성하는 경우 CloudFormation 스택을 관리할 수 있는 권한을 부여하는 추가 권한이 필요합니다. 다음과 같은 추가 권한이 필요합니다.

  • cloudformation – 보안 주체가 CloudFormation 스택을 생성 및 관리할 수 있습니다. 이는 AWS Management 콘솔을 사용하여 Amazon ECS 서비스를 생성하고 이후에 해당 서비스를 관리할 때 필요합니다.

다음 정책은 필요한 권한을 포함하여 Amazon ECS 콘솔에서 생성된 리소스로 작업을 제한합니다.

JSON
{
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStack*",
                "cloudformation:UpdateStack"
             ],
            "Resource": [
                "arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*"
            ]
      }
   ]
}