本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 遷移至 `AmazonECS_FullAccess` 受管政策 `AmazonEC2ContainerServiceFullAccess` 受管 IAM 政策已於 2021 年 1 月 29 日淘汰,以使用 `iam:passRole` 許可回應安全問題。此許可授予帳戶中的角色對所有資源的存取權,包括憑證。因為政策已逐步淘汰,您無法將政策連接至任何新的群組、使用者或角色。已連接政策的所有群組、使用者或角色都可以繼續使用它。但我們建議您更新群組、使用者或角色,以使用 `AmazonECS_FullAccess` 受管政策。 `AmazonECS_FullAccess` 政策授予的許可包含以系統管理員身分使用 ECS 所需的完整許可清單。如果目前使用由 `AmazonEC2ContainerServiceFullAccess` 政策授予的許可,但這些許可不在 `AmazonECS_FullAccess` 政策中,您可以將這些許可新增至內嵌政策聲明。如需詳細資訊,請參閱[AWS Amazon Elastic Container Service 的 受管政策](security-iam-awsmanpol.md)。 使用下列步驟來判斷您是否有任何群組、使用者或角色目前正在使用 `AmazonEC2ContainerServiceFullAccess` 受管 IAM 政策。然後,更新它們以分開先前的政策並連接 `AmazonECS_FullAccess` 政策。 **更新群組、使用者或角色以使用 AmazonECS\$1FullAccess 政策 (AWS 管理主控台)** 1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。 1. 在導覽窗格中,選擇 **Policies** (政策),然後搜尋並選取 `AmazonEC2ContainerServiceFullAccess` 政策。 1. 選擇 **Policy usage** (政策使用) 索引標籤,它顯示目前正在使用此政策的所有 IAM 角色。 1. 對於目前正在使用 `AmazonEC2ContainerServiceFullAccess` 政策的每個 IAM 角色,選取角色並使用下列步驟分開淘汰政策,並連接 `AmazonECS_FullAccess` 政策。 1. 在 **Permissions** (許可) 標籤中,選擇 **AmazonEC2ContainerServiceFullAccess** 政策旁邊的 **X**。 1. 選擇**新增許可**。 1. 選擇 **Attach existing policies directly** (直接連接現有政策),搜尋並選取 **AmazonECS\$1FullAccess** 政策,然後選擇 **Next: Review** (下一步:檢閱)。 1. 檢閱變更,然後選擇 **Add permissions** (新增許可)。 1. 對使用 `AmazonEC2ContainerServiceFullAccess` 政策的每個群組、使用者或角色重複這些步驟。 **更新群組、使用者或角色以使用 `AmazonECS_FullAccess` 政策 (AWS CLI)** 1. 使用 [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html) 命令來產生報告,其中包含上次使用淘汰政策時的詳細資訊。 ``` aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess ``` 輸出範例: ``` { "JobId": "32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE" } ``` 1. 搭配使用先前輸出的任務 ID 與 [https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html) 命令來擷取服務的上次存取報告。此報告會顯示上次使用淘汰政策的 IAM 實體的 Amazon Resource Name (ARN)。 ``` aws iam get-service-last-accessed-details \ --job-id 32bb1fb0-1ee0-b08e-3626-ae83EXAMPLE ``` 1. 請使用下列其中一個命令,將 `AmazonEC2ContainerServiceFullAccess` 政策從群組、使用者或角色中分開。 + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html) + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html) + [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html) 1. 請使用下列其中一個命令,將 `AmazonECS_FullAccess` 政策連接至群組、使用者或角色。 + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html) + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html) + [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)