本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
遷移至 AmazonECS_FullAccess 受管政策
AmazonEC2ContainerServiceFullAccess 受管 IAM 政策已於 2021 年 1 月 29 日淘汰,以使用 iam:passRole 許可回應安全問題。此許可授予帳戶中的角色對所有資源的存取權,包括憑證。因為政策已逐步淘汰,您無法將政策連接至任何新的群組、使用者或角色。已連接政策的所有群組、使用者或角色都可以繼續使用它。但我們建議您更新群組、使用者或角色,以使用 AmazonECS_FullAccess 受管政策。
AmazonECS_FullAccess 政策授予的許可包含以系統管理員身分使用 ECS 所需的完整許可清單。如果您目前使用不在AmazonEC2ContainerServiceFullAccess政策中的AmazonECS_FullAccess政策授予的許可,您可以將它們新增至內嵌政策陳述式。如需詳細資訊,請參閱AWS Amazon Elastic Container Service 的 受管政策。
使用下列步驟來判斷您是否有任何群組、使用者或角色目前正在使用 AmazonEC2ContainerServiceFullAccess 受管 IAM 政策。然後,更新它們以分開先前的政策並連接 AmazonECS_FullAccess 政策。
更新群組、使用者或角色以使用 AmazonECS_FullAccess 政策 (AWS Management Console)
-
前往 https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在導覽窗格中,選擇 Policies (政策),然後搜尋並選取
AmazonEC2ContainerServiceFullAccess政策。 -
選擇 Policy usage (政策使用) 索引標籤,它顯示目前正在使用此政策的所有 IAM 角色。
-
針對目前使用
AmazonEC2ContainerServiceFullAccess政策的每個 IAM 角色,選取該角色,並使用下列步驟分離已淘汰的政策並連接AmazonECS_FullAccess政策。-
在 Permissions (許可) 標籤中,選擇 AmazonEC2ContainerServiceFullAccess 政策旁邊的 X。
-
選擇新增許可。
-
選擇 Attach existing policies directly (直接連接現有政策),搜尋並選取 AmazonECS_FullAccess 政策,然後選擇 Next: Review (下一步:檢閱)。
-
檢閱變更,然後選擇 Add permissions (新增許可)。
-
對使用
AmazonEC2ContainerServiceFullAccess政策的每個群組、使用者或角色重複這些步驟。
-
更新群組、使用者或角色以使用 AmazonECS_FullAccess 政策 (AWS CLI)
-
使用 generate-service-last-accessed-details命令來產生報告,其中包含上次使用淘汰政策時的詳細資訊。
aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess輸出範例:
{ "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE" } -
使用上一個輸出的任務 ID 搭配 get-service-last-accessed-details命令,以擷取服務的上次存取報告。此報告會顯示上次使用淘汰政策之 IAM 實體的 Amazon Resource Name (ARN)。
aws iam get-service-last-accessed-details \ --job-id32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE -
請使用下列其中一個命令,將
AmazonEC2ContainerServiceFullAccess政策從群組、使用者或角色中分開。 -
請使用下列其中一個命令,將
AmazonECS_FullAccess政策連接至群組、使用者或角色。
