Amazon ECS 新增對其他 IAM 條件金鑰的支援
Amazon Elastic Container Service (Amazon ECS) 今天推出了 8 個適用於 Identity and Access Management (IAM) 的全新服務特定條件金鑰。這些新條件金鑰可讓您建立 IAM 政策及服務控制政策 (SCP),可以更好地在容器化環境中強制執行組織政策。
IAM 條件金鑰可讓您編寫根據 API 請求內容來強制執行存取控制的政策。有了今天的版本後,Amazon ECS 新增了條件金鑰,可讓您針對已部署在 Amazon ECS 上的應用程式,強制執行與資源組態相關的政策 (ecs:task-cpu、ecs:task:memory 和 ecs:compute 相容性)、容器權限 (ecs:privileged)、網路組態 (ecs:auto-assign-public-ip 和 ecs:subnet),以及標籤傳播 (ecs:propagate-tags 和 ecs:enable-ecs-managed-tags)。例如,您可以使用新的 ecs:auto-assign-public-ip 條件金鑰來強制禁止將 ECS 服務中的任務指派至公用 IP 位址,並使用 ecs:privileged 條件金鑰來防止使用基礎主機的權限註冊任務定義。
Amazon ECS 的新 IAM 條件內容金鑰適用於所有 AWS 區域。若要查看 ECS 支援之 IAM 條件內容金鑰的完整清單,以及進一步了解如何搭配 Amazon ECS 使用條件金鑰,請參閱我們的文件。