Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Izin diperlukan untuk konsol Amazon ECS
Mengikuti praktik terbaik pemberian hak istimewa paling rendah, Anda dapat menggunakan kebijakan terkelola `AmazonECS_FullAccess` sebagai templat untuk membuat kebijakan kustom Anda sendiri. Dengan begitu, Anda dapat mengambil atau menambahkan izin ke dan dari kebijakan terkelola berdasarkan kebutuhan khusus Anda. *Untuk informasi selengkapnya, lihat [AmazonECS\_ FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) di Referensi Kebijakan Terkelola.AWS *
## Izin untuk membuat peran IAM
Tindakan berikut memerlukan izin tambahan untuk menyelesaikan operasi:
+ Mendaftarkan instance eksternal - untuk informasi selengkapnya, lihat [Peran IAM Amazon ECS Anywhere](iam-role-ecsanywhere.md)
+ Mendaftarkan definisi tugas - untuk informasi lebih lanjut, lihat [Peran IAM pelaksanaan tugas Amazon ECS](task_execution_IAM_role.md)
+ Membuat EventBridge aturan yang akan digunakan untuk menjadwalkan tugas - untuk informasi selengkapnya, lihat [Peran Amazon ECS EventBridge IAM](CWE_IAM_role.md)
Anda dapat menambahkan izin ini dengan membuat peran di IAM sebelum menggunakannya di konsol Amazon ECS. Jika Anda tidak membuat peran, konsol Amazon ECS akan membuatnya atas nama Anda.
## Izin yang diperlukan untuk mendaftarkan instance eksternal ke cluster
Anda memerlukan izin tambahan saat mendaftarkan instance eksternal ke klaster dan Anda ingin membuat peran instance eksternal (`ecsExternalInstanceRole`) baru.
Izin tambahan berikut diperlukan:
+ `iam`— Memungkinkan kepala sekolah untuk membuat dan membuat daftar peran IAM dan kebijakan terlampir mereka.
+ saya: AttachRolePolicy
+ saya: CreateRole
+ saya: CreateInstanceProfile
+ saya: AddRoleToInstanceProfile
+ saya: ListInstanceProfilesForRole
+ saya: GetRole
+ `ssm`— Memungkinkan prinsipal untuk mendaftarkan instance eksternal dengan Systems Manager.
**catatan**
Untuk memilih yang sudah ada`ecsExternalInstanceRole`, Anda harus memiliki `iam:GetRole` dan `iam:PassRole` izin.
Kebijakan berikut berisi izin yang diperlukan, dan membatasi tindakan untuk `ecsExternalInstanceRole` peran.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:ListInstanceProfilesForRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole","ssm:CreateActivation"],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
}
]
}
```
------
## Izin diperlukan untuk mendaftarkan definisi tugas
Anda memerlukan izin tambahan saat mendaftarkan definisi tugas dan Anda ingin membuat peran eksekusi tugas (`ecsTaskExecutionRole`) baru.
Izin tambahan berikut diperlukan:
+ `iam`— Memungkinkan kepala sekolah untuk membuat dan membuat daftar peran IAM dan kebijakan terlampir mereka.
+ saya: AttachRolePolicy
+ saya: CreateRole
+ saya: GetRole
**catatan**
Untuk memilih yang sudah ada`ecsTaskExecutionRole`, Anda harus memiliki `iam:GetRole` izin.
Kebijakan berikut berisi izin yang diperlukan, dan membatasi tindakan untuk `ecsTaskExecutionRole` peran.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
}
]
}
```
------
## Izin yang diperlukan untuk menggunakan Amazon Q Developer untuk memberikan rekomendasi di konsol
Agar Pengembang Amazon Q memberikan rekomendasi di konsol Amazon ECS;, Anda harus mengaktifkan izin IAM yang benar untuk pengguna atau peran IAM Anda. Anda harus menambahkan `codewhisperer:GenerateRecommendations` izin.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperPermissions",
"Effect": "Allow",
"Action": ["codewhisperer:GenerateRecommendations"],
"Resource": "*"
}
]
}
```
------
Untuk menggunakan obrolan sebaris di konsol Amazon ECS;, Anda harus mengaktifkan izin IAM yang benar untuk pengguna atau peran IAM Anda. Anda harus menambahkan `q:SendMessage` izin. :
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperInlineChatPermissions",
"Effect": "Allow",
"Action": ["q:SendMessage"],
"Resource": "*"
}
]
}
```
------
## Izin diperlukan untuk membuat EventBridge aturan untuk tugas terjadwal
Anda memerlukan izin tambahan saat menjadwalkan tugas dan Anda ingin membuat peran peran (`ecsEventsRole`) CloudWatch Acara baru.
Izin tambahan berikut diperlukan:
+ `iam`— Memungkinkan kepala sekolah untuk membuat dan mencantumkan peran IAM dan kebijakan terlampirnya, dan mengizinkan Amazon ECS meneruskan peran tersebut ke layanan lain untuk mengambil peran tersebut.
**catatan**
Untuk memilih yang sudah ada`ecsEventsRole`, Anda harus memiliki `iam:GetRole` dan `iam:PassRole` izin.
Kebijakan berikut berisi izin yang diperlukan, dan membatasi tindakan untuk `ecsEventsRole` peran.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/ecsEventsRole"
}
]
}
```
------
## Izin yang diperlukan untuk melihat penerapan layanan
Saat Anda mengikuti praktik terbaik pemberian hak istimewa paling sedikit, Anda perlu menambahkan izin tambahan untuk melihat penerapan layanan di konsol.
Anda memerlukan akses ke tindakan berikut:
+ ListServiceDeployments
+ DescribeServiceDeployments
+ DescribeServiceRevisions
Anda memerlukan akses ke sumber daya berikut:
+ Layanan
+ Penyebaran layanan
+ Revisi Layanan
Kebijakan contoh berikut berisi izin yang diperlukan, dan membatasi tindakan ke layanan tertentu.
Ganti`account`,`cluster-name`, dan `service-name` dengan nilai-nilai Anda.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ListServiceDeployments",
"ecs:DescribeServiceDeployments",
"ecs:DescribeServiceRevisions"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
"arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
"arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
]
}
]
}
```
------
## Izin diperlukan untuk melihat peristiwa siklus hidup Amazon ECS di Wawasan Kontainer
Izin berikut diperlukan untuk melihat peristiwa siklus hidup. Tambahkan izin berikut sebagai kebijakan sebaris ke peran. Untuk informasi selengkapnya, lihat [Menambahkan dan Menghapus Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ peristiwa: DescribeRule
+ peristiwa: ListTargetsByRule
+ log: DescribeLogGroups
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule",
"logs:DescribeLogGroups"
],
"Resource": "*"
}
]
}
```
------
## Izin diperlukan untuk mengaktifkan peristiwa siklus hidup Amazon ECS di Wawasan Kontainer
Izin berikut diperlukan untuk mengonfigurasi peristiwa siklus hidup:
+ peristiwa: PutRule
+ peristiwa: PutTargets
+ log: CreateLogGroup
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets",
"logs:CreateLogGroup"
],
"Resource": "*"
}
]
}
```
------