Amazon ECS 콘솔에 필요한 권한
최소 권한을 부여하는 모범 사례를 따르면, AmazonECS_FullAccess 관리형 정책을 사용자 고유의 사용자 지정 정책을 생성하기 위한 템플릿으로 사용할 수 있습니다. 이렇게 하면 특정 요구 사항에 따라 관리형 정책에서 권한을 제거하거나 추가할 수 있습니다. 자세한 내용은 AWS Managed Policy 참조 안내서의 AmazonECS_FullAccess를 참조하세요.
IAM 역할을 생성하기 위한 권한
작업을 완료하려면 다음 조치를 위한 추가 권한이 필요합니다.
-
외부 인스턴스 등록 - 자세한 내용은 Amazon ECS Anywhere IAM 역할을 참조하세요.
-
작업 정의 등록 - 자세한 내용은 Amazon ECS 태스크 실행 IAM 역할을 참조하세요.
-
작업 예약에 사용할 EventBridge 규칙 생성 - 자세한 내용은 Amazon ECS EventBridge IAM 역할을 참조하세요.
이러한 권한을 Amazon ECS 콘솔에서 사용하려면 먼저 IAM에서 역할을 생성하여 이러한 권한을 추가할 수 있습니다. 역할을 생성하지 않으면 Amazon ECS 콘솔이 사용자를 대신하여 역할을 생성합니다.
클러스터에 외부 인스턴스를 등록하는 데 필요한 권한
외부 인스턴스를 클러스터에 등록하고 새 외부 인스턴스(ecsExternalInstanceRole) 역할을 생성하려면 추가 권한이 필요합니다.
다음과 같은 추가 권한이 필요합니다.
-
iam– 보안 주체가 IAM 역할 및 연결된 정책을 생성 및 나열할 수 있습니다. -
ssm- 보안 주체가 외부 인스턴스를 Systems Manager에 등록할 수 있습니다.
참고
기존 ecsExternalInstanceRole을 선택하려면 iam:GetRole 및 iam:PassRole 권한이 있어야 합니다.
다음 정책은 필요한 권한을 포함하여 ecsExternalInstanceRole 역할로 작업을 제한합니다.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" }, { "Effect": "Allow", "Action": ["iam:PassRole","ssm:CreateActivation"], "Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole" } ] }
작업 정의를 등록하는 데 필요한 권한
작업 정의를 등록하고 새 작업 실행(ecsTaskExecutionRole) 역할을 생성하려는 경우 추가 권한이 필요합니다.
다음과 같은 추가 권한이 필요합니다.
-
iam– 보안 주체가 IAM 역할 및 연결된 정책을 생성 및 나열할 수 있습니다.
참고
기존 ecsTaskExecutionRole을 선택하려면 iam:GetRole 권한이 있어야 합니다.
다음 정책은 필요한 권한을 포함하여 ecsTaskExecutionRole 역할로 작업을 제한합니다.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole" } ] }
예약된 작업에 대한 EventBridge 규칙을 생성하는 데 필요한 권한
작업을 예약하고 새 CloudWatch Events 역할(ecsEventsRole)을 생성하려면 추가 권한이 필요합니다.
다음과 같은 추가 권한이 필요합니다.
-
iam- 보안 주체가 IAM 역할 및 연결된 정책을 생성 및 나열하고, Amazon ECS가 역할을 다른 서비스에 전달하여 역할을 수임하도록 허용할 수 있습니다.
참고
기존 ecsEventsRole을 선택하려면 iam:GetRole 및 iam:PassRole 권한이 있어야 합니다.
다음 정책은 필요한 권한을 포함하여 ecsEventsRole 역할로 작업을 제한합니다.
{ "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/ecsEventsRole" } ] }
서비스 배포를 보는 데 필요한 권한
최소 권한 부여의 모범 사례를 따는 경우 콘솔에서 서비스 배포를 보려면 추가 권한을 추가해야 합니다.
다음과 같은 조치에 대한 액세스 권한이 필요합니다.
ListServiceDeployments
DescribeServiceDeployments
DescribeServiceRevisions
다음과 같은 리소스에 대한 액세스 권한이 필요합니다.
Service
서비스 배포
서비스 개정
다음 예제 정책에는 필요한 권한이 있으며, 지정된 서비스로 조치가 제한됩니다.
account, cluster-name 및 service-name을 원하는 값으로 바꿉니다.
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ListServiceDeployments", "ecs:DescribeServiceDeployments", "ecs:DescribeServiceRevisions" ], "Resource": [ "arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name", "arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*", "arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*" ] } ] }
Container Insights에서 Amazon ECS 수명 주기 이벤트를 확인하기 위해 필요한 권한
수명 주기 이벤트를 보려면 다음의 권한이 필요합니다. 다음 권한을 역할에 인라인 정책으로 추가합니다. 자세한 정보는 IAM 정책 추가 및 제거 섹션을 참조하세요.
-
events:DescribeRule
-
events:ListTargetsByRule
-
logs:DescribeLogGroups
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule", "logs:DescribeLogGroups" ], "Resource": "*" } ] }
Container Insights에서 Amazon ECS 수명 주기 이벤트를 활성화하기 위해 필요한 권한
수명 주기 이벤트를 구성하려면 다음의 권한이 필요합니다.
-
events:PutRule
-
events:PutTargets
-
logs:CreateLogGroup
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:PutRule", "events:PutTargets", "logs:CreateLogGroup" ], "Resource": "*" } ] }
