# Políticas gerenciadas pela AWS para o Amazon Elastic Container Service
<a name="security-iam-awsmanpol"></a>

Para adicionar permissões a usuários, grupos e perfis, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para [criar políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, é possível usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua conta da AWS. Para obter mais informações sobre políticas gerenciadas pela AWS, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.

Além disso, a AWS é compatível com políticas gerenciadas por perfis de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** política gerenciada pela AWS fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.

O Amazon ECS e o Amazon ECR fornecem várias políticas gerenciadas e relacionamentos de confiança que você pode anexar aos usuários, aos grupos, aos perfis, às instâncias do Amazon EC2 e às tarefas do Amazon ECS que permitem diferentes níveis de controle sobre recursos e operações de API. É possível aplicar essas políticas diretamente ou usá-las como ponto de partida para criar suas próprias políticas. Para obter mais informações sobre políticas gerenciadas pelo Amazon ECR, consulte [Políticas gerenciadas pelo Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr_managed_policies.html).

## AmazonECS\$1FullAccess
<a name="security-iam-awsmanpol-AmazonECS_FullAccess"></a>

É possível anexar a política `AmazonECS_FullAccess` às suas identidades do IAM. Essa política concede acesso administrativo a recursos do Amazon ECS e concede a uma identidade do IAM (como usuário, grupo ou função) acesso aos serviços da AWS aos quais o Amazon ECS está integrado para usar todos os recursos do Amazon ECS. O uso dessa política permite o acesso a todos os recursos do Amazon ECS que estão disponíveis no Console de gerenciamento da AWS.

Para visualizar as permissões dessa política, consulte [AmazonECS\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) na *Referência de políticas gerenciadas da AWS*.

## AmazonECSInfrastructureRolePolicyForVolumes
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes"></a>

É possível anexar a política gerenciada `AmazonECSInfrastructureRolePolicyForVolumes` às suas entidades do IAM.

A política concede as permissões necessárias para que o Amazon ECS faça chamadas de API da AWS em seu nome. Você pode anexar essa política ao perfil do IAM que você fornece com a configuração do volume ao iniciar tarefas e serviços do Amazon ECS. O perfil permite que o Amazon ECS gerencie volumes anexados às suas tarefas. Para obter mais informações, consulte [Amazon ECS infrastructure IAM role](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/infrastructure_IAM_role.html).

Para visualizar as permissões dessa política, consulte [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html) na *Referência de políticas gerenciadas pela AWS*.

## AmazonEC2ContainerServiceforEC2Role
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role"></a>

É possível anexar a política `AmazonEC2ContainerServiceforEC2Role` às suas identidades do IAM. Essa política concede permissões administrativas que permitem que as instâncias de contêineres do Amazon ECS façam chamadas para a AWS em seu nome. Para obter mais informações, consulte [Função do IAM de instância de contêiner do Amazon ECS](instance_IAM_role.md).

O Amazon ECS anexa essa política a uma função de serviço que permite que o Amazon ECS execute ações em seu nome contra instâncias do Amazon EC2 ou instâncias externas.

Para visualizar as permissões dessa política, consulte [AmazonEC2ContainerServiceforEC2Role](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceforEC2Role.html) na *Referência de políticas gerenciadas pela AWS*.

### Considerações
<a name="instance-iam-role-considerations"></a>

Você deve considerar as seguintes recomendações e considerações quando usar a política do IAM gerenciada `AmazonEC2ContainerServiceforEC2Role`.
+ Ao seguir o aviso de segurança padrão de concessão de privilégio mínimo, você pode modificar a política gerenciada `AmazonEC2ContainerServiceforEC2Role` para atender às suas necessidades específicas. Se qualquer permissão concedida na política gerenciada não for necessária para seu caso de uso, crie uma política personalizada e adicione apenas as permissões necessárias. Por exemplo, a permissão `UpdateContainerInstancesState` é fornecida para drenagem de instâncias spot. Se essa permissão não for necessária para o seu caso de uso, exclua-a usando uma política personalizada. 
+ Os contêineres em execução nas instâncias de contêiner têm acesso a todas as permissões dadas à função da instância de contêiner por meio de [instance metadata](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html). Recomendamos que você limite as permissões na função de instância de contêiner à lista mínima de permissões fornecidas na política gerenciada `AmazonEC2ContainerServiceforEC2Role` mostrada. Caso os contêineres das tarefas precisem de permissões adicionais não listadas aqui, recomendamos que estas tarefas sejam fornecidas com as próprias funções do IAM. Para obter mais informações, consulte [Perfil do IAM para tarefas do Amazon ECS](task-iam-roles.md).

  É possível impedir que contêineres na ponte `docker0` acessem as permissões fornecidas para o perfil de instância de contêiner. Isso pode ser feito enquanto ainda concede as permissões fornecidas pelo [Perfil do IAM para tarefas do Amazon ECS](task-iam-roles.md) ao executar o seguinte comando **iptables** nas instâncias de contêiner. Os contêineres não podem consultar metadados de instância com essa regra em vigor. Esse comando pressupõe a configuração de ponte do Docker padrão e não funciona para contêineres que usam o modo de rede `host`. Para obter mais informações, consulte [Modo de rede](task_definition_parameters.md#network_mode).

  ```
  sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
  ```

  Você deve salvar essa regra **iptables** em sua instância de contêiner para ela sobreviver uma reinicialização. Para a AMI otimizada para Amazon ECS, use o seguinte comando. Para outros sistemas operacionais, consulte a documentação do SO em questão.
  + Para a AMI do Amazon Linux 2 otimizada para o Amazon ECS:

    ```
    sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
    ```
  + Para a AMI do Amazon Linux otimizada para o Amazon ECS:

    ```
    sudo service iptables save
    ```

## AmazonEC2ContainerServiceEventsRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole"></a>

É possível anexar a política `AmazonEC2ContainerServiceEventsRole` às suas identidades do IAM. Essa política concede permissões que possibilitam que o Amazon EventBridge (anteriormente conhecido como CloudWatch Events) execute tarefas em seu nome. Essa política pode ser anexada à função do IAM especificada quando você cria tarefas programadas. Para obter mais informações, consulte [Perfil do IAM para EventBridge do Amazon ECS](CWE_IAM_role.md).

Para visualizar as permissões dessa política, consulte [AmazonEC2ContainerServiceEventsRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceEventsRole.html) na *Referência de políticas gerenciadas pela AWS*.

## AmazonECSTaskExecutionRolePolicy
<a name="security-iam-awsmanpol-AmazonECSTaskExecutionRolePolicy"></a>

A política do IAM `AmazonECSTaskExecutionRolePolicy` gerenciada concede as permissões necessárias para que o agente de contêiner do Amazon ECS e os agentes de contêiner do AWS Fargate façam chamadas de API da AWS em seu nome. Essa política pode ser adicionada à função do IAM de execução de tarefas. Para obter mais informações, consulte [Função do IAM de execução de tarefas do Amazon ECS](task_execution_IAM_role.md).

Para visualizar as permissões dessa política, consulte [AmazonECSTaskExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSTaskExecutionRolePolicy.html) na *Referência de políticas gerenciadas pela AWS*.

## AmazonECSServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonECSServiceRolePolicy"></a>

A política do IAM gerenciada `AmazonECSServiceRolePolicy` permite que o Amazon Elastic Container Service gerencie seu cluster. Essa política pode ser adicionada ao seu perfil vinculado ao serviço [AWSServiceRoleForECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using-service-linked-roles-for-clusters.html#service-linked-role-permissions-clusters). 

Para visualizar as permissões dessa política, consulte [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS*.

## `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity"></a>

Também é possível anexar a política `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` às suas entidades do IAM. Essa política fornece acesso administrativo à Autoridade de Certificação Privada da AWS, ao Secrets Manager e a outros serviços da AWS necessários para gerenciar os recursos de TLS do Amazon ECS Service Connect em seu nome.

Para visualizar as permissões dessa política, consulte [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html) na *Referência de políticas gerenciadas pela AWS*.

## `AWSApplicationAutoscalingECSServicePolicy`
<a name="security-iam-awsmanpol-AWSApplicationAutoscalingECSServicePolicy"></a>

Não é possível anexar `AWSApplicationAutoscalingECSServicePolicy` às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Application Auto Scaling execute ações em seu nome. Para obter mais informações, consulte[ Funções vinculadas ao serviço para o Application Auto Scaling](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html).

Para exibir as permissões dessa política, consulte [AWSApplicationAutoscalingECSServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingECSServicePolicy.html) na *Referência de política gerenciada da AWS*.

## `AWSCodeDeployRoleForECS`
<a name="security-iam-awsmanpol-AWSCodeDeployRoleForECS"></a>

Não é possível anexar `AWSCodeDeployRoleForECS` às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CodeDeploy execute ações em seu nome. Para obter mais informações, consulte [Criar uma função de serviço para o CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html) no *Guia do usuário do AWS CodeDeploy*.

Para visualizar as permissões dessa política, consulte [AWSCodeDeployRoleForECS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECS.html) na *Referência de políticas gerenciadas pela AWS*.

## `AWSCodeDeployRoleForECSLimited`
<a name="security-iam-awsmanpol-AWSCodeDeployRoleForECSLimited"></a>

Não é possível anexar `AWSCodeDeployRoleForECSLimited` às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CodeDeploy execute ações em seu nome. Para obter mais informações, consulte [Criar uma função de serviço para o CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html) no *Guia do usuário do AWS CodeDeploy*.

Para visualizar as permissões dessa política, consulte [AWSCodeDeployRoleForECSLimited](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECSLimited.html) na *Referência de políticas gerenciadas pela AWS*.

## `AmazonECSInfrastructureRolePolicyForLoadBalancers`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers"></a>

Também é possível anexar a política `AmazonECSInfrastructureRolePolicyForLoadBalancers` às suas entidades do IAM. Esta política concede permissões que possibilitam que o Amazon ECS gerencie recursos do Elastic Load Balancing em seu nome. A política inclui:
+ Permissões somente leitura para descrever receptores, regras, grupos de destino e integridade do destino
+ Permissões para registrar e cancelar o registro de destinos com grupos de destino
+ Permissões para modificar receptores de Application Load Balancers e Network Load Balancers
+ Permissões para modificar regras de Application Load Balancers

Essas permissões permitem que o Amazon ECS gerencie automaticamente as configurações do balanceador de carga quando os serviços são criados ou atualizados, garantindo o roteamento adequado do tráfego para seus contêineres.

Para visualizar as permissões dessa política, consulte [AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForLoadBalancers.html) na *Referência de políticas gerenciadas pela AWS*.

## `AmazonECSInfrastructureRolePolicyForManagedInstances`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances"></a>

Também é possível anexar a política `AmazonECSInfrastructureRolePolicyForManagedInstances` às suas entidades do IAM. Essa política concede as permissões exigidas pelo Amazon ECS para criar e atualizar recursos do Amazon EC2 para instâncias gerenciadas do ECS em seu nome. A política inclui:
+ Permissões para criar e gerenciar modelos de inicialização do Amazon EC2 para instâncias gerenciadas
+ Permissões para provisionar instâncias do Amazon EC2 usando CreateFleet e RunInstances
+ Permissões para criar e gerenciar tags nos recursos do Amazon EC2 criados pelo ECS
+ Permissões para transmitir perfis do IAM às instâncias do Amazon EC2 para instâncias gerenciadas
+ Permissões para criar perfis vinculadas ao serviço para instâncias spot do Amazon EC2
+ Permissões somente leitura para descrever recursos do Amazon EC2, incluindo instâncias, tipos de instância, modelos de lançamento, interfaces de rede, zonas de disponibilidade, grupos de segurança, sub-redes, VPCs, imagens do EC2 e reservas de capacidade
+ Permissões somente leitura para listar recursos do Amazon ResourceGroups, o que é necessário para obter recursos marcados e listar recursos da pilha do Amazon CloudFormation

Essas permissões deixam que o Amazon ECS provisione e gerencie automaticamente instâncias do Amazon EC2 para suas instâncias gerenciadas do ECS, garantindo a configuração adequada e o gerenciamento correto do ciclo de vida dos recursos computacionais subjacentes.

Para visualizar as permissões dessa política, consulte [AmazonECSInfrastructureRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html) na *Referência de política gerenciada da AWS*.

## `AmazonECSInfrastructureRolePolicyForVpcLattice`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice"></a>

Também é possível anexar a política `AmazonECSInfrastructureRolePolicyForVpcLattice` às suas entidades do IAM. Essa política fornece acesso a outros recursos do serviço da AWS necessários para gerenciar volumes associados a workloads do Amazon ECS em seu nome.

Para visualizar as permissões dessa política, consulte [AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html) na *Referência de políticas gerenciadas pela AWS*.

Fornece acesso a outros recursos do serviço da AWS necessários para gerenciar volumes associados a workloads do Amazon ECS em seu nome.

## `AmazonECSInfrastructureRoleforExpressGatewayServices`
<a name="security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices"></a>

Também é possível anexar a política `AmazonECSInfrastructureRoleforExpressGatewayServices` às suas entidades do IAM. Essa política concede as permissões exigidas pelo Amazon ECS para criar e atualizar aplicações web usando o Express Services em seu nome. A política inclui:
+ Permissões para criar perfis vinculadas ao serviço para ajuste de escala automático da aplicação Amazon ECS
+ Permissões para criar, modificar e excluir Application Load Balancers, receptores, regras e grupos de destino.
+ Permissões para criar, modificar e excluir grupos de segurança de VPC para recursos gerenciados pelo ECS
+ Permissões para solicitar, gerenciar e excluir certificados SSL/TLS por meio do ACM
+ Permissões para configurar políticas e metas de ajuste de escala automático da aplicação para os serviços do Amazon ECS
+ Permissões para criar e gerenciar alarmes do CloudWatch para acionadores de ajuste de escala automático
+ Permissões somente leitura para descrever balanceadores de carga, recursos de VPC, certificados, configurações de ajuste de escala automático e alarmes do CloudWatch

Essas permissões deixam que o Amazon ECS provisione e gerencie automaticamente os componentes de infraestrutura necessários para aplicações web Express Services, incluindo: balanceamento de carga, grupos de segurança, certificados SSL e configurações de ajuste de escala automático.

Para visualizar as permissões dessa política, consulte [AmazonECSInfrastructureRoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html) na *Referência de política gerenciada da AWS*.

## `AmazonECSComputeServiceRolePolicy`
<a name="security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy"></a>

A política `AmazonECSComputeServiceRolePolicy` é anexada ao perfil AmazonECSComputeServiceRole vinculado ao serviço. Para obter mais informações, consulte [Usar perfis para gerenciar instâncias gerenciadas do Amazon ECS](using-service-linked-roles-instances.md).

Essa política inclui as permissões que possibilitam ao Amazon EKS concluir as tarefas a seguir:
+ O Amazon ECS pode descrever e excluir modelos de inicialização.
+  O Amazon ECS pode descrever e excluir versões de modelos de inicialização.
+ O Amazon ECS pode encerrar instâncias.
+ O Amazon ECS pode descrever os seguintes parâmetros de dados da instância:
  + Instância
  + Interfaces de rede de instâncias: o Amazon ECS pode descrever o que é necessário para gerenciar o ciclo de vida da instância do EC2.
  + Janela de evento da instância: o Amazon ECS pode descrever as informações da janela de evento para determinar se o fluxo de trabalho pode ser interrompido para aplicar patch na instância.
  + Status da instância: o Amazon ECS pode descrever o status da instância para monitorar sua integridade.

Para visualizar as permissões dessa política, consulte [ AmazonECSComputeServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSComputeServiceRolePolicy.html) na *Referência de política gerenciada da AWS*.

## `AmazonECSInstanceRolePolicyForManagedInstances`
<a name="security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances"></a>

Apolítica `AmazonECSInstanceRolePolicyForManagedInstances` fornece permissões para que as instâncias gerenciadas do Amazon ECS se registrem nos clusters do Amazon ECS e se comuniquem com o serviço do Amazon ECS.

Essa política inclui as permissões que fazem com que as instâncias gerenciadas do Amazon ECS possam concluir as seguintes tarefas:
+ Registrar-se e cancelar o registro nos clusters do Amazon ECS.
+ Enviar alterações de estado da instância de contêiner.
+ Enviar alterações de estado da tarefa.
+ Descobrir os endpoints de sondagem do agente do Amazon ECS.

Para visualizar as permissões dessa política, consulte [AmazonECSInstanceRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInstanceRolePolicyForManagedInstances.html) na *Referência de política gerenciada da AWS*.

## Atualizações do Amazon ECS para políticas gerenciadas pela AWS
<a name="security-iam-awsmanpol-updates"></a>

Visualize detalhes sobre atualizações de políticas gerenciadas pela AWS para o Amazon ECS desde que este serviço passou a rastrear essas mudanças. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico de documentos do Amazon ECS.

 


| Alteração | Descrição | Data | 
| --- | --- | --- | 
|   Atualizar a política `AmazonECSInfrastructureRolePolicyForManagedInstances`   |  A política `AmazonECSInfrastructureRolePolicyForManagedInstances` foi atualizada com as seguintes permissões para oferecer suporte às reservas de capacidade nas instâncias gerenciadas do Amazon ECS: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonECS/latest/developerguide/security-iam-awsmanpol.html)  | 24 de fevereiro de 2026 | 
|  Adicione permissões à política [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | A política AmazonECSServiceRolePolicy gerenciada do IAM foi atualizada para incluir a permissão ssmmessages:OpenDataChannel. Essa permissão permite que o Amazon ECS abra canais de dados para sessões do ECS Exec. | 20 de janeiro de 2026 | 
|   Atualizar a política `AmazonECSInfrastructureRolePolicyForManagedInstances`   |  A política `AmazonECSInfrastructureRolePolicyForManagedInstances` foi atualizada para modificar as permissões `CreateFleet`. As condições baseadas em recursos para sub-redes, grupos de segurança e imagens do EC2 foram removidas porque: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonECS/latest/developerguide/security-iam-awsmanpol.html) Essa alteração garante que a política funcione corretamente com recursos que não possuem as tags de gerenciamento do ECS esperadas.   | 15 de dezembro de 2025 | 
|  Adicione permissões à política [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | A política gerenciada AmazonECSServiceRolePolicy do IAM foi atualizada com novas permissões do Amazon EC2, que permitem que o Amazon ECS busque as janelas de eventos do Amazon EC2 para serviços e clusters associados às janelas de eventos. | 20 de novembro de 2025 | 
|  Adicione permissões à política [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | A política gerenciada AmazonECSServiceRolePolicy do IAM foi atualizada com novas permissões do Amazon EC2, que permitem que o Amazon ECS provisione e cancele o provisionamento da ENI de tarefas. | 14 de novembro de 2025 | 
|  Atualize a política [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity)   | Foi atualizada a política gerenciada do IAM AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity para separar a permissão secretsmanager:DescribeSecret em sua própria declaração de política. A permissão continua definindo o escopo do acesso do Amazon ECS exclusivamente aos segredos criados pelo Amazon ECS e usa a correspondência de padrões de ARN em vez de tags de recursos para definir o escopo. Isso permite que o Amazon ECS monitore o status do segredo em todo o seu ciclo de vida, inclusive quando um segredo foi excluído. | 13 de novembro de 2025 | 
|  Adicionar nova [`AmazonECSInfrastructureRoleforExpressGatewayServices`](#security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices)  | Foi adicionada a nova política AmazonECSInfrastructureRoleForExpressGatewayServices que fornece ao Amazon ECS acesso para criar e gerenciar aplicações web usando o Express Services. | 21 de novembro de 2025 | 
|  Adicionar nova [`AmazonECSInstanceRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances)  | Foi adicionada a nova política AmazonECSInstanceRolePolicyForManagedInstances que fornece permissões para que as instâncias gerenciadas do Amazon ECS se registrem nos clusters do Amazon ECS. | 30 de setembro de 2025 | 
|  Adicionar nova [`AmazonECSInfrastructureRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances)  | Foi adicionada a nova política AmazonECSInfrastructureRolePolicyForManagedInstances que fornece ao Amazon ECS acesso para criar e gerenciar recursos gerenciados do Amazon EC2. | 30 de setembro de 2025 | 
|  Adicionar nova [AmazonECSComputeServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy)  | Permite que o Amazon ECS gerencie as instâncias gerenciadas do Amazon ECS e recursos relacionados. | 31 de agosto de 2025 | 
|  Adicione permissões a [AmazonEC2ContainerServiceforEC2Role](#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role)   | A política AmazonEC2ContainerServiceforEC2Role gerenciada do IAM foi atualizada para incluir a permissão ecs:ListTagsForResource. Essa permissão permite que o agente do Amazon ECS recupere tags de instâncias de tarefas e contêineres por meio do endpoint de metadados da tarefa (\$1\$1ECS\$1CONTAINER\$1METADATA\$1URI\$1V4\$1/taskWithTags). | 4 de agosto de 2025 | 
|  Adicione permissões à política [AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers).  | A política AmazonECSInfrastructureRolePolicyForLoadBalancers gerenciada do IAM foi atualizada com novas permissões para descrever, cancelar o registro e registrar grupos de destino. | 25 de julho de 2025 | 
|  Adicionar a nova política [`AmazonECSInfrastructureRolePolicyForLoadBalancers`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers)  |  Foi adicionada a nova política AmazonECSInfrastructureRolePolicyForLoadBalancers que fornece acesso a outros recursos dos serviços da AWS necessários para gerenciar balanceadores de carga associados às workloads do Amazon ECS.  | 15 de julho de 2025 | 
|  Adicione permissões à política [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy).  | A política gerenciada do IAM AmazonECSServiceRolePolicy foi atualizada com novas permissões AWS Cloud Map, permitindo que o Amazon ECS atualize atributos de serviço AWS Cloud Map para serviços gerenciados pelo Amazon ECS. | 15 de julho de 2025 | 
|  Adicionar permissões ao [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)  | A política gerenciada do IAM AmazonECSServiceRolePolicy foi atualizada com novas permissões AWS Cloud Map, permitindo que o Amazon ECS atualize atributos de serviço AWS Cloud Map para serviços gerenciados pelo Amazon ECS. | 24 de junho de 2025 | 
|  Adicionar permissões a [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | A política AmazonECSInfrastructureRolePolicyForVolumes foi atualizada para adicionar a permissão ec2:DescribeInstances. Essa permissão ajuda a impedir a colisão de nome de dispositivo para volumes do Amazon EBS anexados a tarefas do Amazon ECS em execução na mesma instância de contêiner. | 2 de junho de 2025 | 
|  Adicionar nova [AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice)  | Fornece acesso a outros recursos do serviço da AWS necessários para gerenciar volumes associados a workloads do Amazon ECS em seu nome. | 18 de novembro de 2024 | 
|  Adicionar permissões a [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | A política AmazonECSInfrastructureRolePolicyForVolumes foi atualizada para permitir que os clientes criem um volume do Amazon EBS com base em um snapshot. | 10 de outubro de 2024 | 
|  Adicionou permissões a [AmazonECS\$1FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess)  |  A política AmazonECS\$1FullAccess foi atualizada para adicionar permissões iam:PassRole para perfis do IAM para um perfil chamado ecsInfrastructureRole. Este é o perfil padrão do IAM criado pelo Console de gerenciamento da AWS, destinado a ser usado como um perfil de infraestrutura do ECS que permite ao Amazon ECS gerenciar volumes do Amazon EBS anexados às tarefas do ECS. | 13 de agosto de 2024 | 
|  Adicionar nova política [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity)  |  Foi adicionada uma nova política AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity que fornece acesso administrativo ao AWS KMS, à Autoridade de Certificação Privada da AWS e ao Secrets Manager e permite que os recursos de TLS do Amazon ECS Service Connect funcionem adequadamente.  | 22 de janeiro de 2024 | 
|  Adicionar nova política [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes)  | A política AmazonECSInfrastructureRolePolicyForVolumes foi adicionada. A política concede as permissões necessárias ao Amazon ECS para fazer chamadas de API da AWS a fim de gerenciar volumes do Amazon EBS associados às workloads do Amazon ECS. | 11 de janeiro de 2024 | 
|  Adicionar permissões ao [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)  | A política do IAM gerenciada AmazonECSServiceRolePolicy foi atualizada com novas permissões de events e permissões adicionais de autoscaling e autoscaling-plans. | 4 de dezembro de 2023 | 
|  Adicionar permissões a [AmazonEC2ContainerServiceEventsRole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole)  | A política do IAM gerenciada AmazonECSServiceRolePolicy foi atualizada para permitir o acesso à API DiscoverInstancesRevision do AWS Cloud Map. | 4 de outubro de 2023 | 
|  Adicione permissões ao [AmazonEC2ContainerServiceforEC2Role](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role)  | A política AmazonEC2ContainerServiceforEC2Role foi modificada para adicionar a permissão ecs:TagResource, que inclui uma condição que limita a permissão somente aos clusters recém-criados e às instâncias de contêiner registradas. | 6 de março de 2023 | 
|  Adicionar permissão a [AmazonECS\$1FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess)  | A política AmazonECS\$1FullAccess foi modificada para adicionar a permissão elasticloadbalancing:AddTags, que inclui uma condição que limita a permissão somente aos balanceadores de carga recém-criados, aos grupos de destino, às regras e aos receptores criados. Essa permissão não permite que sejam adicionadas tags a qualquer recurso já criado do Elastic Load Balancing. | 4 de janeiro de 2023 | 
|  O Amazon ECS passou a rastrear as alterações  |  O Amazon ECS passou a rastrear as alterações para as políticas gerenciadas da AWS.  | 8 de junho de 2021 | 

# Políticas do IAM gerenciadas pela AWS desativadas para o Amazon Elastic Container Service
<a name="security-iam-awsmanpol-deprecated-policies"></a>

Os seguintes exemplos de políticas do IAM gerenciadas pela AWS estão desativadas. Essas políticas agora estão substituídas pelas políticas atualizadas. Recomendamos que você atualize seus usuários ou perfis para usar as políticas atualizadas.

## AmazonEC2ContainerServiceFullAccess
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceFullAccess"></a>

**Importante**  
A política do IAM gerenciada `AmazonEC2ContainerServiceFullAccess` foi desativada a partir de 29 de janeiro de 2021, em resposta a uma descoberta relativa à segurança com a permissão `iam:passRole`. Essa permissão concede acesso a todos os recursos, incluindo credenciais para funções da conta. Agora que a política está desativada, você não pode anexá-la a quaisquer novos usuários ou perfis. Quaisquer usuários ou funções que já tenham a política anexada poderão continuar a usá-la. Contudo, recomendamos que você atualize seus usuários ou perfis para usar a política gerenciada `AmazonECS_FullAccess`. Para obter mais informações, consulte [Migrar para a política gerenciada `AmazonECS_FullAccess`](security-iam-awsmanpol-amazonecs-full-access-migration.md).

## AmazonEC2ContainerServiceRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceRole"></a>

**Importante**  
A política do IAM gerenciada `AmazonEC2ContainerServiceRole` está desativada. Ela foi substituída pela função vinculada ao serviço do Amazon ECS. Para obter mais informações, consulte [Uso de perfis vinculados ao serviço para o Amazon ECS](using-service-linked-roles.md).

## AmazonEC2ContainerServiceAutoscaleRole
<a name="security-iam-awsmanpol-AmazonEC2ContainerServiceAutoscaleRole"></a>

**Importante**  
A política do IAM gerenciada `AmazonEC2ContainerServiceAutoscaleRole` está desativada. Ela foi substituída pela função vinculada ao serviço do Application Auto Scaling para o Amazon ECS. Para ter mais informações, consulte [Funções vinculadas a serviço do Application Auto Scaling](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html), no *Guia do usuário do Application Auto Scaling*.

# Migrar para a política gerenciada `AmazonECS_FullAccess`
<a name="security-iam-awsmanpol-amazonecs-full-access-migration"></a>

A política do IAM gerenciada `AmazonEC2ContainerServiceFullAccess` foi desativada em 29 de janeiro de 2021, em resposta a uma descoberta relativa à segurança com a permissão `iam:passRole`. Essa permissão concede acesso a todos os recursos, incluindo credenciais para funções da conta. Agora que a política está desativada, você não pode anexá-la a quaisquer novos grupos, usuários ou perfis. Quaisquer grupos, usuários ou funções que já tenham a política anexada poderão continuar a usá-la. Contudo, recomendamos que você atualize seus grupos, usuários ou perfis para usar a política gerenciada `AmazonECS_FullAccess`.

As permissões que são concedidas pela política `AmazonECS_FullAccess` incluem a lista completa de permissões necessárias para usar o ECS como administrador. Se você atualmente usa permissões concedidas pela política `AmazonEC2ContainerServiceFullAccess` que não estão na política `AmazonECS_FullAccess`, pode adicioná-las a uma declaração de política em linha. Para obter mais informações, consulte [Políticas gerenciadas pela AWS para o Amazon Elastic Container Service](security-iam-awsmanpol.md).

Use as etapas a seguir para determinar se você tem grupos, usuários ou perfis que estão usando, no momento, a política gerenciada do IAM `AmazonEC2ContainerServiceFullAccess`. Em seguida, atualize-os para desvincular a política anterior e anexar a política `AmazonECS_FullAccess`.

**Para atualizar um grupo, usuário ou perfil para usar a política AmazonECS\$1FullAccess policy (Console de gerenciamento da AWS)**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Policies** (Políticas) e pesquise e selecione a política `AmazonEC2ContainerServiceFullAccess`.

1. Escolha a guia **Policy usage** (Uso da política), que exibe qualquer função do IAM que está usando essa política, no momento.

1. Para cada perfil do IAM que está usando a política `AmazonEC2ContainerServiceFullAccess` no momento, selecione o perfil e use as etapas a seguir para desanexar a política desativada e anexar a política `AmazonECS_FullAccess`.

   1. Na guia **Permissions** (Permissões), escolha o **X** ao lado da política **AmazonEC2ContainerServiceFullAccess**.

   1. Escolha **Adicionar permissões**.

   1. Escolha **Attach existing policies directly** (Anexar políticas existentes diretamente), pesquise e selecione a política **AmazonECS\$1FullAccess** e escolha **Next: Review** (Próximo: Análise).

   1. Analise as alterações e escolha **Add permissions** (Adicionar permissões).

   1. Repita essas etapas para cada grupo, usuário ou perfil que esteja usando a política `AmazonEC2ContainerServiceFullAccess`.

**Para atualizar um grupo, usuário ou perfil para usar a política `AmazonECS_FullAccess` (AWS CLI)**

1. Use o comando [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html) para gerar um relatório que inclua detalhes sobre quando a política desativada foi usada pela última vez.

   ```
   aws iam generate-service-last-accessed-details \
        --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess
   ```

   Resultado do exemplo:

   ```
   {
       "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
   }
   ```

1. Use o ID do trabalho da saída anterior com o comando [https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html) para recuperar o último relatório acessado do serviço. Esse relatório exibe o nome do recurso da Amazon (ARN) das entidades do IAM que usaram a política desativada pela última vez.

   ```
   aws iam get-service-last-accessed-details \
         --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
   ```

1. Use um dos seguintes comandos para desvincular a política `AmazonEC2ContainerServiceFullAccess` de um grupo, usuário ou perfil.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)

1. Use um dos comandos a seguir para anexar a política `AmazonECS_FullAccess` a um grupo, usuário ou perfil.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)