# Migración a la política administrada `AmazonECS_FullAccess`
<a name="security-iam-awsmanpol-amazonecs-full-access-migration"></a>

La política de IAM administrada `AmazonEC2ContainerServiceFullAccess` se eliminó gradualmente el 29 de enero de 2021, en respuesta a un problema de seguridad detectado en el permiso `iam:passRole`. Este permiso concede acceso a todos los recursos, incluso a las credenciales de los roles de la cuenta. Ahora que la política se eliminó gradualmente, no la puede asociar a grupos, usuarios o roles nuevos. Todos los grupos, usuarios o roles que ya tengan asociada la política, pueden continuar utilizándola. No obstante, es aconsejable que actualice sus grupos, usuarios o roles para que utilicen la política administrada `AmazonECS_FullAccess`.

Los permisos que concede la política `AmazonECS_FullAccess` incluye la lista completa de permisos necesarios para utilizar ECS como administrador. Si actualmente utiliza permisos concedidos por la política `AmazonEC2ContainerServiceFullAccess` que no están en la política `AmazonECS_FullAccess`, puede agregarlos a una instrucción de política en línea. Para obtener más información, consulte [AWSPolíticas administradas por para Amazon Elastic Container Service](security-iam-awsmanpol.md).

Siga estos pasos para determinar si tiene grupos, usuarios o roles que actualmente estén utilizando la política de IAM administrada `AmazonEC2ContainerServiceFullAccess`. A continuación, actualícelos para separar desasociar la política anterior y asociar la `AmazonECS_FullAccess`.

**Para actualizar un grupo, usuario o rol a fin de que utilice la política AmazonECS\$1FullAccess (Consola de administración de AWS)**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Policies** (Políticas) y busque y seleccione la política `AmazonEC2ContainerServiceFullAccess`.

1. Elija la pestaña **Policy usage** (Uso de políticas) que muestre cualquier rol de IAM que actualmente esté utilizando esta política.

1. Para cada rol de IAM que actualmente esté utilizando la política `AmazonEC2ContainerServiceFullAccess`, seleccione el rol y siga estos pasos para desasociar la política obsoleta y adjuntar la política `AmazonECS_FullAccess`.

   1. En la página **Permissions** (Permisos), elija la **X** junto a la política **AmazonEC2ContainerServiceFullAccess**.

   1. Elija **Añadir permisos**.

   1. Elija **Attach existing policies directly** (Asociar políticas existentes directamente), busque y seleccione la política **AmazonECS\$1FullAccess** y, a continuación, elija **Next: Review** (Siguiente: Revisar).

   1. Revise los cambios y, luego, seleccione **Add permissions** (Agregar permisos).

   1. Repita estos pasos para cada grupo, usuario o rol que utilice la política `AmazonEC2ContainerServiceFullAccess`.

**Para actualizar un grupo, usuario o rol a fin de que utilice la política `AmazonECS_FullAccess` (AWS CLI)**

1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html) para generar un informe que incluya detalles sobre cuándo se usó la política obsoleta por última vez.

   ```
   aws iam generate-service-last-accessed-details \
        --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess
   ```

   Ejemplo de código de salida:

   ```
   {
       "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
   }
   ```

1. Utilice el ID de trabajo del resultado anterior con el comando [https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html) para recuperar el último informe del servicio al que se accedió. Este informe muestra el nombre de recurso de Amazon (ARN) de las entidades de IAM que usaron la política obsoleta por última vez.

   ```
   aws iam get-service-last-accessed-details \
         --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
   ```

1. Utilice uno de los siguientes comandos para desasociar la política `AmazonEC2ContainerServiceFullAccess` de un grupo, usuario o rol.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)

1. Utilice uno de los siguientes comandos para asociar la política `AmazonECS_FullAccess` a un grupo, usuario o rol.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)