AWS: Как ограничить развертывание кластерами ECS с использованием IAM
У меня несколько кластеров Fargate в одной учетной записи AWS. Я хочу убедиться, что данная учетная запись службы (используемая конвейером сборки) может обновлять службы только в заданных кластерах Fargate.
Приглашение редактора политики IAM для ресурса действия ecs: UpdateService - ] arn: aws: ecs :: , что не имеет смысла, учитывая, что разные кластеры могут иметь службы с одинаковым именем. aws ecs description-tasks показывает как «clusterArn», так и «serviceArn» для каждой задачи. aws ecs list-services и aws ecs description-services применяются только к службам для данного кластера.
Я создал политику, которая ограничивает действие ecs:UpdateService возможностью обновления только arn:aws:ecs: с условием "StringEquals" , указывающим ключ условия ecs:cluster, установленный в ARN кластера ECS. Используя этот метод, вы можете указать * для <служба>, чтобы разрешить политике обновлять все службы в данном кластере.
Документация: Действия, ресурсы и ключи условий для Amazon Elastic Container Service