Amazon ECS bietet Unterstützung für zusätzliche IAM-Bedingungsschlüssel
Amazon Elastic Container Service (Amazon ECS) hat heute acht neue servicespezifische Bedingungsschlüssel für Identity and Access Management (IAM) veröffentlicht. Mit diesen neuen Bedingungsschlüsseln können Sie IAM-Richtlinien sowie Service Control Policies (SCPs) erstellen, um Ihre Unternehmensrichtlinien in containerisierten Umgebungen besser durchzusetzen.
Mit IAM-Bedingungsschlüsseln können Sie Richtlinien erstellen, die die Zugriffskontrolle auf der Grundlage des API-Anforderungskontextes erzwingen. Mit der heutigen Version hat Amazon ECS Bedingungsschlüssel hinzugefügt, mit denen Sie Richtlinien in Bezug auf Ressourcenkonfiguration (ecs:task-cpu, ecs:task:memory und ecs:compute-compatibility), Containerberechtigungen (ecs:privileged), Netzwerkkonfiguration (ecs:auto-assign-public-ip und ecs:subnet) und Tag-Propagation (ecs:propagate-tags und ecs:enable-ecs-managed-tags) für Ihre auf Amazon ECS bereitgestellten Anwendungen durchsetzen können. Sie können beispielsweise den neuen Bedingungsschlüssel ecs:auto-assign-public-ip verwenden, um zu erzwingen, dass Aufgaben in Ihrem ECS-Service keine öffentlichen IP-Adressen zugewiesen werden, und den Bedingungsschlüssel ecs:privileged, um die Registrierung von Aufgabendefinitionen mit Rechten für den zugrunde liegenden Host zu verhindern.
Die neuen IAM-Bedingungskontextschlüssel für Amazon ECS sind in allen AWS-Regionen verfügbar. Die vollständige Liste der von ECS unterstützten IAM-Bedingungskontextschlüssel und weitere Informationen zur Verwendung von Bedingungsschlüsseln mit Amazon ECS finden Sie in unserer Dokumentation.