기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Elastic Container Service에 사용되는 작업, 리소스 및 조건 키
Amazon Elastic Container Service(서비스 접두사: ecs)는 IAM 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다.
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용 가능한 API 작업의 목록을 봅니다.
-
IAM 권한 정책을 사용하여 이 서비스와 리소스를 보호하는 방법을 알아봅니다.
주제
Amazon Elastic Container Service에서 정의한 작업
IAM 정책 설명의 Action 요소에서는 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용하면 일반적으로 이름이 같은 API 작업 또는 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 액세스 수준 열은 작업이 분류되는 방법(목록, 읽기, 권한 관리 또는 태그 지정)을 설명합니다. 이 분류는 정책에서 사용하는 작업이 부여하는 액세스 레벨을 이해하는 데 도움이 될 수 있습니다. 액세스 수준에 대한 자세한 내용은 정책 요약의 액세스 수준을 참조하세요.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 리소스 열에 리소스 유형이 포함되어 있으면 해당 작업 시 문에서 해당 유형의 ARN을 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM 정책의 Resource 요소로 리소스 액세스를 제한하는 경우, 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
작업 테이블의 종속 작업 열에는 작업을 성공적으로 호출하는 데 필요할 수 있는 추가 권한이 표시됩니다. 작업 자체에 대한 권한 외에 이러한 권한이 필요할 수 있습니다. 작업이 종속 작업을 지정하는 경우 해당 종속성은 테이블에 나열된 첫 번째 리소스뿐만 아니라 해당 작업에 정의된 추가 리소스에도 적용될 수 있습니다.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
| 작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
|---|---|---|---|---|---|
| CreateCapacityProvider | 새 용량 공급자를 생성할 수 있는 권한을 부여합니다. 용량 공급자는 Amazon ECS 클러스터와 연결되며 클러스터 Auto Scaling을 용이하게 하기 위한 용량 공급자 전략에 사용됩니다. | Write | |||
| CreateCluster | 새 Amazon ECS 클러스터를 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateService | 서비스 생성을 통해 지정된 작업 정의에서 원하는 수의 작업을 실행하고 유지 관리할 수 있는 권한을 부여합니다. | Write | |||
| CreateTaskSet | 새 Amazon ECS 작업 세트를 생성할 수 있는 권한을 부여합니다. | Write | |||
| DeleteAccountSetting | 계정의 지정된 IAM 사용자, IAM 역할 또는 루트 사용자에 대해 리소스의 ARN 및 리소스 ID 형식을 수정할 수 있는 권한을 부여합니다. 새 ARN 및 리소스 ID 형식이 새로 생성되는 리소스에서 비활성화되는지 여부를 지정할 수 있습니다. | Write | |||
| DeleteAttributes | Amazon ECS 리소스에서 하나 이상의 사용자 지정 속성을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteCapacityProvider | 지정된 용량 공급자를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteCluster | 지정된 클러스터를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteService | 클러스터 내에서 지정된 서비스를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteTaskDefinitions | 패밀리 및 개정별로 지정된 태스크 정의를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteTaskSet | 지정된 작업 세트를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeregisterContainerInstance | 지정된 클러스터에서 Amazon ECS 컨테이너 인스턴스를 등록 취소할 수 있는 권한을 부여합니다. | Write | |||
| DeregisterTaskDefinition | 패밀리 및 개정별로 지정된 작업 정의를 등록 취소할 수 있는 권한을 부여합니다. | Write | |||
| DescribeCapacityProviders | 하나 이상의 Amazon ECS 용량 공급자를 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeClusters | 하나 이상의 클러스터를 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeContainerInstances | Amazon ECS 컨테이너 인스턴스를 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeServiceDeployments | 하나 이상의 서비스 배포를 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeServiceRevisions | 하나 이상의 서비스 개정을 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeServices | 클러스터에서 실행 중인 지정된 서비스를 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeTaskDefinition | 작업 정의를 설명할 수 있는 권한을 부여합니다. 패밀리 및 개정을 지정하여 특정 작업 정의에 대한 정보를 찾을 수 있습니다. 또는 간단하게 패밀리만 지정하여 해당 패밀리에서 최신 ACTIVE 개정을 찾을 수도 있습니다. | Read | |||
| DescribeTaskSets | Amazon ECS 작업 세트를 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeTasks | 지정된 작업을 설명할 수 있는 권한을 부여합니다. | Read | |||
| DiscoverPollEndpoint | 업데이트를 위해 폴링할 Amazon ECS 에이전트의 엔드포인트를 가져올 수 있는 권한을 부여합니다. | Write | |||
| ExecuteCommand | Amazon ECS 컨테이너에서 원격으로 명령을 실행할 수 있는 권한을 부여합니다. | 쓰기 | |||
| GetTaskProtection | Amazon ECS 서비스에 있는 태스크의 보호 상태를 검색할 수 있는 권한을 부여합니다. | Read | |||
| ListAccountSettings | 지정된 보안 주체에 대한 Amazon ECS 리소스의 계정 설정을 나열할 수 있는 권한을 부여합니다. | Read | |||
| ListAttributes | 지정된 대상 유형 및 클러스 내의 Amazon ECS 리소스에 대한 속성을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListClusters | 기존 클러스터 목록을 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| ListContainerInstances | 지정된 클러스터의 컨테이너 인스턴스 목록을 가져올 수 있는 권한을 부여합니다. | List | |||
| ListServiceDeployments | 지정된 서비스에 대한 서비스 배포 목록을 가져올 수 있는 권한을 부여합니다. | List | |||
| ListServices | 지정된 클러스터에서 실행 중인 서비스 목록을 가져올 수 있는 권한을 부여합니다. | List | |||
| ListServicesByNamespace | 지정된 AWS 클라우드 맵 네임스페이스에서 실행 중인 서비스 목록을 가져올 수 있는 권한을 부여합니다. | List | |||
| ListTagsForResource | 지정된 리소스에 대한 태그 목록을 가져올 수 있는 권한을 부여합니다. | Read | |||
| ListTaskDefinitionFamilies | 계정에 등록된 작업 정의 패밀리의 목록을 가져올 수 있는 권한을 부여합니다(더 이상 어떤 ACTIVE 작업 정의도 없는 작업 정의 패밀리를 포함할 수 있음). | 나열 | |||
| ListTaskDefinitions | 계정에 등록된 작업 정의 목록을 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| ListTasks | 지정된 클러스터에 대한 작업 목록을 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| Poll [권한만 해당] | Amazon ECS 서비스와 연결하여 상태를 보고하고 명령을 가져올 수 있는 권한을 에이전트에 부여합니다. | Write | |||
| PutAccountSetting | 계정의 지정된 IAM 사용자, IAM 역할 또는 루트 사용자에 대해 리소스의 ARN 및 리소스 ID 형식을 수정할 수 있는 권한을 부여합니다. 새 ARN 및 리소스 ID 형식이 새로 생성되는 리소스에서 활성화되는지 여부를 지정할 수 있습니다. 리소스 태그 지정과 같은 새로운 Amazon ECS 기능을 사용하려면 이 설정을 활성화해야 합니다. | Write | |||
| PutAccountSettingDefault | 개별 계정 설정이 없는 계정의 모든 IAM 사용자에 대해 리소스 유형의 ARN 및 리소스 ID 형식을 수정할 수 있는 권한을 부여합니다. 리소스 태그 지정과 같은 새로운 Amazon ECS 기능을 사용하려면 이 설정을 활성화해야 합니다. | Write | |||
| PutAttributes | Amazon ECS 리소스에 대한 속성을 생성하거나 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| PutClusterCapacityProviders | 클러스터의 사용 가능한 용량 공급자 및 기본 용량 공급자 전략을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| PutSystemLogEvents | 컨테이너 인스턴스에서 시스템 로그를 수집할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RegisterContainerInstance | 지정된 클러스터에 EC2 인스턴스를 등록할 수 있는 권한을 부여합니다. | Write | |||
| RegisterTaskDefinition | 제공된 패밀리 및 containerDefinitions로부터 새 작업 정의를 등록할 수 있는 권한을 부여합니다. | Write | |||
| RunTask | 임의 배치 및 기본 Amazon ECS 스케줄러를 사용하여 작업을 시작할 수 있는 권한을 부여합니다. | Write |
iam:PassRole |
||
| StartTask | 지정된 컨테이너 인스턴스에서 지정된 작업 정의로부터 새 작업을 시작할 수 있는 권한을 부여합니다. | Write |
iam:PassRole |
||
| StartTelemetrySession | 원격 측정 세션을 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
| StopServiceDeployment | 지속적인 서비스 배포를 중지할 수 있는 권한을 부여합니다. | 쓰기 | |||
| StopTask | 실행 중인 작업을 중지할 수 있는 권한을 부여합니다. | Write | |||
| SubmitAttachmentStateChanges | 첨부 파일이 상태를 변경했다는 확인을 보낼 수 있는 권한을 부여합니다. | Write | |||
| SubmitContainerStateChange | 컨테이너가 상태를 변경했다는 확인을 보낼 수 있는 권한을 부여합니다. | Write | |||
| SubmitTaskStateChange | 작업이 상태를 변경했다는 확인을 보낼 수 있는 권한을 부여합니다. | Write | |||
| TagResource | 지정된 리소스에 태그를 지정할 권한을 부여합니다. | 태그 지정 | |||
| UntagResource | 지정된 리소스의 태그를 해제할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| UpdateCapacityProvider | 지정된 용량 공급자를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateCluster | 클러스터에 사용할 구성 또는 설정을 수정할 수 있는 권한을 부여합니다. | Write | |||
| UpdateClusterSettings | 클러스터에 사용할 설정을 수정할 수 있는 권한을 부여합니다. | Write | |||
| UpdateContainerAgent | 지정된 컨테이너 인스턴스에서 Amazon ECS 컨테이너 에이전트를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateContainerInstancesState | 사용자에게 Amazon ECS 컨테이너 인스턴스의 상태를 수정할 수 있는 권한을 부여합니다. | Write | |||
| UpdateService | 서비스의 파라미터를 수정할 수 있는 권한을 부여합니다. | Write | |||
| UpdateServicePrimaryTaskSet | 서비스에 사용되는 기본 작업 세트를 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateTaskProtection | 태스크의 보호 상태를 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateTaskSet | 지정된 작업 세트를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
Amazon Elastic Container Service에서 정의한 리소스 유형
이 서비스에서 정의하는 리소스 유형은 다음과 같으며, IAM 권한 정책 설명의 Resource 요소에서 사용할 수 있습니다. 작업 테이블의 각 작업은 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 조건 키를 정의할 수도 있습니다. 이러한 키는 리소스 유형 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 관한 자세한 내용은 리소스 유형 테이블을 참조하세요.
| 리소스 유형 | ARN | 조건 키 |
|---|---|---|
| cluster |
arn:${Partition}:ecs:${Region}:${Account}:cluster/${ClusterName}
|
|
| container-instance |
arn:${Partition}:ecs:${Region}:${Account}:container-instance/${ClusterName}/${ContainerInstanceId}
|
|
| service |
arn:${Partition}:ecs:${Region}:${Account}:service/${ClusterName}/${ServiceName}
|
|
| service-deployment |
arn:${Partition}:ecs:${Region}:${Account}:service-deployment/${ClusterName}/${ServiceName}/${ServiceDeploymentId}
|
|
| service-revision |
arn:${Partition}:ecs:${Region}:${Account}:service-revision/${ClusterName}/${ServiceName}/${ServiceRevisionId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${ClusterName}/${TaskId}
|
|
| task-definition |
arn:${Partition}:ecs:${Region}:${Account}:task-definition/${TaskDefinitionFamilyName}:${TaskDefinitionRevisionNumber}
|
|
| capacity-provider |
arn:${Partition}:ecs:${Region}:${Account}:capacity-provider/${CapacityProviderName}
|
|
| task-set |
arn:${Partition}:ecs:${Region}:${Account}:task-set/${ClusterName}/${ServiceName}/${TaskSetId}
|
Amazon Elastic Container Service에 사용되는 조건 키
Amazon Elastic Container Service는 IAM 정책의 Condition 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에서 사용할 수 있는 전역 조건 키를 보려면 AWS 전역 조건 컨텍스트 키를 참조하세요.
| 조건 키 | 설명 | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | 요청에서 전달되는 태그를 기준으로 액세스를 필터링합니다. | String |
| aws:ResourceTag/${TagKey} | 리소스에 연결된 태그 키-값 페어를 기준으로 액세스를 필터링합니다. | String |
| aws:TagKeys | 요청에서 전달되는 태그 키를 기준으로 액세스를 필터링합니다. | ArrayOfString |
| ecs:CreateAction | 리소스 생성 API 작업의 이름을 기준으로 액세스를 필터링합니다. | String |
| ecs:ResourceTag/${TagKey} | 리소스에 연결된 태그 키-값 페어를 기준으로 액세스를 필터링합니다. | String |
| ecs:account-setting | Amazon ECS 계정 설정 이름에 따라 액세스를 필터링합니다. | String |
| ecs:auto-assign-public-ip | awsvpc 네트워크 모드를 사용하는 Amazon ECS 작업 또는 Amazon ECS 서비스의 퍼블릭 IP 할당 구성을 기준으로 액세스를 필터링합니다. | 부울 |
| ecs:capacity-provider | Amazon ECS 용량 공급자의 ARN을 기준으로 액세스를 필터링합니다. | ArrayOfARN |
| ecs:cluster | Amazon ECS 클러스터의 ARN을 기준으로 액세스를 필터링합니다. | ARN |
| ecs:compute-compatibility | 요청에 제공된 필수 호환성 필드를 기준으로 액세스를 필터링합니다. | ArrayOfString |
| ecs:container-instances | Amazon ECS 컨테이너 인스턴스의 ARN을 기준으로 액세스를 필터링합니다. | ARN |
| ecs:container-name | ECS 작업 정의에 정의된 Amazon ECS 컨테이너의 이름을 기준으로 액세스를 필터링합니다. | String |
| ecs:enable-ebs-volumes | ECS 태스크 또는 서비스의 Amazon ECS에서 관리하는 Amazon EBS 볼륨 용량을 기준으로 액세스를 필터링합니다. | String |
| ecs:enable-ecs-managed-tags | Amazon ECS 태스크 또는 Amazon ECS 서비스의 enableECSManagedTags 구성을 기준으로 액세스를 필터링합니다. | 부울 |
| ecs:enable-execute-command | Amazon ECS 작업 또는 Amazon ECS 서비스의 실행 명령 기능을 기준으로 액세스를 필터링합니다. | String |
| ecs:enable-service-connect | Service Connect 구성에서 활성화 필드 값을 기준으로 액세스를 필터링합니다. | String |
| ecs:enable-vpc-lattice | Amazon ECS 서비스의 VPC 격자 기능을 기준으로 액세스를 필터링합니다. | String |
| ecs:fargate-ephemeral-storage-kms-key | 요청에 제공된 AWS KMS 키 ID를 기준으로 액세스를 필터링합니다. | String |
| ecs:namespace | Service Connect 구성에 정의된 AWS 클라우드 맵 네임스페이스의 ARN을 기준으로 액세스를 필터링합니다. | ARN |
| ecs:privileged | 요청에 제공된 권한 있는 필드를 기준으로 액세스를 필터링합니다. | String |
| ecs:propagate-tags | Amazon ECS 태스크 또는 Amazon ECS 서비스의 태그 전파 구성을 기준으로 액세스를 필터링합니다. | String |
| ecs:service | Amazon ECS 서비스의 ARN을 기준으로 액세스를 필터링합니다. | ARN |
| ecs:subnet | awsvpc 네트워크 모드를 사용하는 Amazon ECS 작업 또는 Amazon ECS 서비스의 서브넷 구성을 기준으로 액세스를 필터링합니다. | ArrayOfString |
| ecs:task | Amazon ECS 작업의 ARN을 기준으로 액세스를 필터링합니다. | ARN |
| ecs:task-cpu | 요청에 제공된 1024 = 1 vCPU의 정수로 작업 cpu를 기준으로 액세스를 필터링합니다. | Numeric |
| ecs:task-definition | Amazon ECS 작업 정의의 ARN을 기준으로 액세스를 필터링합니다. | ARN |
| ecs:task-memory | 요청에 제공된 MiB를 나타내는 정수로 작업 메모리를 기준으로 액세스를 필터링합니다. | Numeric |
