У меня несколько кластеров Fargate в одной учетной записи AWS. Я хочу убедиться, что данная учетная запись службы (используемая конвейером сборки) может обновлять службы только в заданных кластерах Fargate.
Приглашение редактора политики IAM для ресурса действия ecs: UpdateService
- ] arn: aws: ecs ::
, что не имеет смысла, учитывая, что разные кластеры могут иметь службы с одинаковым именем. aws ecs description-tasks
показывает как «clusterArn», так и «serviceArn» для каждой задачи. aws ecs list-services
и aws ecs description-services
применяются только к службам для данного кластера.
Я создал политику, которая ограничивает действие ecs:UpdateService
возможностью обновления только arn:aws:ecs:
с условием "StringEquals" , указывающим ключ условия ecs:cluster
, установленный в ARN кластера ECS. Используя этот метод, вы можете указать *
для <служба>
, чтобы разрешить политике обновлять все службы в данном кластере.
Документация: Действия, ресурсы и ключи условий для Amazon Elastic Container Service