Amazon ECS 增加了对其他 IAM 条件键的支持
Amazon Elastic Container Service (Amazon ECS) 现为 Identity and Access Management (IAM) 推出了 8 个新的服务特定的条件键。这些新的条件键允许您创建 IAM 策略和服务控制策略 (SCP),以便更好地在容器化环境中执行组织策略。
IAM 条件键允许您基于 API 请求上下文编写实施访问控制的策略。此次发布后,Amazon ECS 增加了条件键,允许您为部署在 Amazon ECS 上的应用程序执行与资源配置(ecs:task-cpu、ecs:task:memory 和 ecs:compute-compatibility)、容器权限 (ecs:privileged)、网络配置(ecs:auto-assign-public-ip 和 ecs:subnet)和标签传播(ecs:propagate-tags 和 ecs:enable-ecs-managed-tags)相关的策略。例如,您可以使用新的 ecs:auto-assign-public-ip 条件键来强制不向 ECS 服务中的任务分配公共 IP 地址,并使用 ecs:privileged 条件键来防止在底层主机上注册具有特权的任务定义。
Amazon ECS 的新 IAM 条件上下文键在所有 AWS 区域均可用。要查看 ECS 支持的 IAM 条件上下文键的完整列表,并详细了解如何在 Amazon ECS 中使用条件键,请参阅我们的文档。