我正在遵循AWS的代码管道文档获取Iam权限。根据文档,这些是ECS标准部署的最低权限。
{
"Effect": "Allow",
"Action": [
"ecs:DescribeServices",
"ecs:DescribeTaskDefinition",
"ecs:DescribeTasks",
"ecs:ListTasks",
"ecs:RegisterTaskDefinition",
"ecs:UpdateService"
],
"Resource": "resource_ARN"
},
我对应该使用哪种资源感到困惑。我应该使用的是任务定义的arn还是ECS服务的arn?
我使用相同的权限工作,将Resource: *
更改为Resource: "ECS_SERVICE_ARN"
不起作用。最终起作用的是将权限分为两部分:
{
"Effect" : "Allow",
"Action" : [
"ecs:DescribeTaskDefinition",
"ecs:RegisterTaskDefinition",
],
"Resource" : "*"
},
{
"Effect" : "Allow",
"Action" : [
"ecs:UpdateService",
"ecs:ListTasks",
"ecs:DescribeTasks",
"ecs:DescribeServices",
],
"Resource" : "ECS_SERVICE_ARN"
}
ECS任务定义的资源级权限控制目前不可用,如前所述:https://stackoverflow.com/a/64019346/11409321
"Resource" : [
"arn:aws:ecr:us-east-1:808394661234:repository/myrepositoryname"
]
您希望在哪里检查us-east-1
零件以匹配您所在的地区。该号码必须与您的帐户ID匹配。要获取该号码,请转到右上角菜单获取帐户ID。只需删除任何-
即可。最后,myrepositoryname
应该与例如用于创建ECR的名称相匹配。