# Migrar para a política gerenciada `AmazonECS_FullAccess`
<a name="security-iam-awsmanpol-amazonecs-full-access-migration"></a>

A política do IAM gerenciada `AmazonEC2ContainerServiceFullAccess` foi desativada em 29 de janeiro de 2021, em resposta a uma descoberta relativa à segurança com a permissão `iam:passRole`. Essa permissão concede acesso a todos os recursos, incluindo credenciais para funções da conta. Agora que a política está desativada, você não pode anexá-la a quaisquer novos grupos, usuários ou perfis. Quaisquer grupos, usuários ou funções que já tenham a política anexada poderão continuar a usá-la. Contudo, recomendamos que você atualize seus grupos, usuários ou perfis para usar a política gerenciada `AmazonECS_FullAccess`.

As permissões que são concedidas pela política `AmazonECS_FullAccess` incluem a lista completa de permissões necessárias para usar o ECS como administrador. Se você atualmente usa permissões concedidas pela política `AmazonEC2ContainerServiceFullAccess` que não estão na política `AmazonECS_FullAccess`, pode adicioná-las a uma declaração de política em linha. Para obter mais informações, consulte [Políticas gerenciadas pela AWS para o Amazon Elastic Container Service](security-iam-awsmanpol.md).

Use as etapas a seguir para determinar se você tem grupos, usuários ou perfis que estão usando, no momento, a política gerenciada do IAM `AmazonEC2ContainerServiceFullAccess`. Em seguida, atualize-os para desvincular a política anterior e anexar a política `AmazonECS_FullAccess`.

**Para atualizar um grupo, usuário ou perfil para usar a política AmazonECS\$1FullAccess policy (Console de gerenciamento da AWS)**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Policies** (Políticas) e pesquise e selecione a política `AmazonEC2ContainerServiceFullAccess`.

1. Escolha a guia **Policy usage** (Uso da política), que exibe qualquer função do IAM que está usando essa política, no momento.

1. Para cada perfil do IAM que está usando a política `AmazonEC2ContainerServiceFullAccess` no momento, selecione o perfil e use as etapas a seguir para desanexar a política desativada e anexar a política `AmazonECS_FullAccess`.

   1. Na guia **Permissions** (Permissões), escolha o **X** ao lado da política **AmazonEC2ContainerServiceFullAccess**.

   1. Escolha **Adicionar permissões**.

   1. Escolha **Attach existing policies directly** (Anexar políticas existentes diretamente), pesquise e selecione a política **AmazonECS\$1FullAccess** e escolha **Next: Review** (Próximo: Análise).

   1. Analise as alterações e escolha **Add permissions** (Adicionar permissões).

   1. Repita essas etapas para cada grupo, usuário ou perfil que esteja usando a política `AmazonEC2ContainerServiceFullAccess`.

**Para atualizar um grupo, usuário ou perfil para usar a política `AmazonECS_FullAccess` (AWS CLI)**

1. Use o comando [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html) para gerar um relatório que inclua detalhes sobre quando a política desativada foi usada pela última vez.

   ```
   aws iam generate-service-last-accessed-details \
        --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess
   ```

   Resultado do exemplo:

   ```
   {
       "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE"
   }
   ```

1. Use o ID do trabalho da saída anterior com o comando [https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html) para recuperar o último relatório acessado do serviço. Esse relatório exibe o nome do recurso da Amazon (ARN) das entidades do IAM que usaram a política desativada pela última vez.

   ```
   aws iam get-service-last-accessed-details \
         --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE
   ```

1. Use um dos seguintes comandos para desvincular a política `AmazonEC2ContainerServiceFullAccess` de um grupo, usuário ou perfil.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)

1. Use um dos comandos a seguir para anexar a política `AmazonECS_FullAccess` a um grupo, usuário ou perfil.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)