# `AmazonECS_FullAccess` 管理ポリシーへの移行 `AmazonEC2ContainerServiceFullAccess` 管理 IAM ポリシーは、2021 年 1 月 29 日に段階的に廃止されました。これは、`iam:passRole` アクセス許可で発見されたセキュリティへの対応です。このアクセス許可は、アカウント内のロールへの認証情報を含むすべてのリソースへのアクセスを許可します。ポリシーが廃止されると、新しいグループ、ユーザー、またはロールにポリシーをアタッチできなくなります。すでにポリシーがアタッチされているグループ、ユーザー、またはロールは、引き続きそのポリシーを使用できます。ただし、グループ、ユーザー、またはロールを更新して、`AmazonECS_FullAccess` が管理するポリシーを代わりに使用することをお勧めします。 `AmazonECS_FullAccess` によって付与される許可には、ECS を管理者として使用するために必要なアクセス許可の完全なリストが含まれます。`AmazonECS_FullAccess` ポリシーにはない `AmazonEC2ContainerServiceFullAccess` ポリシーによって付与されているアクセス許可を現在使用している場合、それらをインラインポリシーステートメントに追加できます。詳細については、「[Amazon Elastic Container Service に関する AWS 管理ポリシー](security-iam-awsmanpol.md)」を参照してください。 現在 `AmazonEC2ContainerServiceFullAccess` 管理 IAM ポリシーを使用しているグループ、ユーザー、またはロールがあるかを判断するには、次のステップを使用します。次に、これらのポリシーを更新して以前のポリシーをデタッチし、`AmazonECS_FullAccess` ポリシーをアタッチします。 **AmazonECS\$1FullAccess ポリシーを使用するようにグループ、ユーザー、またはロールを更新するには (AWS マネジメントコンソール)** 1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。 1. ナビゲーションペインで [**Policies**] を選択し、`AmazonEC2ContainerServiceFullAccess` ポリシーを検索して選択します。 1. [**Policy usage (ポリシーの使用)**] タブを選択すると、現在このポリシーを使用している IAM ロールが表示されます。 1. 現在 `AmazonEC2ContainerServiceFullAccess` ポリシーを使用している IAM ロールごとに、ロールを選択し、次の手順を使用して段階的廃止されるポリシーをデタッチし、`AmazonECS_FullAccess` ポリシーをアタッチします。 1. **[Permissions]** (許可) タブで、**AmazonEC2ContainerServiceFullAccess** ポリシーの横にある **X** を選択します。 1. [**Add permissions (許可の追加)**] を選択します。 1. [**Attach existing policies directly**] を選択し、**AmazonECS\$1FullAccess** ポリシーを検索してクリックして、[**Next: Review**] を選択します。 1. 変更を確認し、[**Add permissions**] を選択します。 1. `AmazonEC2ContainerServiceFullAccess` ポリシーを使用しているグループ、ユーザー、またはロールごとに、これらの手順を繰り返します。 **`AmazonECS_FullAccess` ポリシーを使用するようにグループ、ユーザー、またはロールを更新するには (AWS CLI)** 1. [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html) コマンドを使用して、段階的に廃止されたポリシーが最後に使用された日時に関する詳細を含むレポートを生成します。 ``` aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess ``` 出力例: ``` { "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE" } ``` 1. [https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html) コマンドを使用して、前回の出力のジョブ ID を指定すると、サービスの最終アクセスレポートを取得できます。このレポートには、段階的に廃止されたポリシーを最後に使用した IAM エンティティの Amazon リソースネーム (ARN) が表示されます。 ``` aws iam get-service-last-accessed-details \ --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE ``` 1. グループ、ユーザー、またはロールから `AmazonEC2ContainerServiceFullAccess` ポリシーをデタッチするには、次のコマンドのいずれかを使用します。 + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html) + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html) + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html) 1. `AmazonECS_FullAccess` ポリシーをグループ、ユーザー、またはロールにアタッチするには、次のコマンドのいずれかを使用します。 + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html) + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html) + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)