Amazon ECS でアクションを実行する権限がない iam:PassRole を実行する権限がありません自分の AWS アカウント以外のユーザーに Amazon ECS リソースへのアクセスを許可したい Amazon ECS マネージドインスタンスのインスタンスプロファイルに問題があるその他のトラブルシューティングリソース

Amazon Elastic Container Service のアイデンティティとアクセスのトラブルシューティング

次の情報は、Amazon ECS と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。

トピック

Amazon ECS でアクションを実行する権限がない
iam:PassRole を実行する権限がありません
自分の AWS アカウント以外のユーザーに Amazon ECS リソースへのアクセスを許可したい
Amazon ECS マネージドインスタンスのインスタンスプロファイルに問題がある
その他のトラブルシューティングリソース

Amazon ECS でアクションを実行する権限がない

アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。

次のエラー例は、mateojackson IAM ユーザーがコンソールを使用して、ある my-example-widget リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な ecs:GetWidget アクセス許可を持っていない場合に発生するものです。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ecs:GetWidget on resource: my-example-widget

この場合、ecs:GetWidget アクションを使用して my-example-widget リソースへのアクセスを許可するように、mateojackson ユーザーのポリシーを更新する必要があります。

サポートが必要な場合は、AWS 管理者に問い合わせてください。サインイン認証情報を提供した担当者が管理者です。

iam:PassRole を実行する権限がありません

iam:PassRole アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Amazon ECS にロールを渡せるようにする必要があります。

一部の AWS のサービスでは、新しいサービスロールやサービスリンクロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。

以下の例のエラーは、marymajor という IAM ユーザーがコンソールを使用して Amazon ECS でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。


User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

この場合、Mary のポリシーを更新してメアリーに iam:PassRole アクションの実行を許可する必要があります。

サポートが必要な場合は、AWS 管理者に問い合わせてください。サインイン認証情報を提供した担当者が管理者です。

Amazon ECS マネージドインスタンスを使用している時にこのエラーが発生した場合、そのインスタンスロール名が、マネージドポリシーで義務付けられている命名規則に従っていない可能性があります。詳細については、「Amazon ECS マネージドインスタンスのインスタンスプロファイルに問題がある」を参照してください。

自分の AWS アカウント以外のユーザーに Amazon ECS リソースへのアクセスを許可したい

他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください:

Amazon ECS がこれらの機能をサポートしているかどうかについては、「IAM を使用するAmazon Elastic Container Service」を参照してください。
所有している AWS アカウント全体のリソースへのアクセス権を提供する方法については、IAM ユーザーガイド の所有している別の AWS アカウントへのアクセス権を IAM ユーザーに提供を参照してください。
サードパーティの AWS アカウントにリソースへのアクセス権を提供する方法については、「IAM ユーザーガイド」の「サードパーティが所有する AWS アカウントへのアクセス権を付与する」を参照してください。
ID フェデレーションを介してアクセスを提供する方法については、IAM ユーザーガイド の外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可を参照してください。
クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、IAM ユーザーガイド の IAM でのクロスアカウントのリソースへのアクセスを参照してください。

Amazon ECS マネージドインスタンスのインスタンスプロファイルに問題がある

AmazonECSInfrastructureRolePolicyForManagedInstances マネージドポリシーを使用する場合、インスタンスロール名は ecsInstanceRole で始まる必要があります。ポリシーの範囲は iam:PassRole から arn:aws:iam::*:role/ecsInstanceRole* であるため、名前が一致しない場合、タスクの起動時に認証エラーが発生します。

これは AWS::IAM::Role リソースから RoleName を省略する場合に CloudFormation に一般的です。その理由は、CloudFormation によってポリシー条件に合致しない MyStack-InstanceRole-ABC123 のような名前が自動生成されるためです。

この問題を解決するには、次のいずれかを実行します。

名前がマネージドポリシーに合致するように、AWS::IAM::Role リソースに RoleName: ecsInstanceRole を追加します。
インスタンスロール ARN を対象とするインフラストラクチャロールに明示的な iam:PassRole インラインポリシーを追加します。

CloudFormation テンプレートと詳細な手順については、「CloudFormation を使用してインスタンスプロファイルを作成する」を参照してください。

その他のトラブルシューティングリソース

次のページに、エラーコードに関する情報が記載されています。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ポリシーの例

IAM ベストプラクティス