With PerfectScale™ for Commitments, we're bringing rate optimization to every cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

AWS ECS Security Update

By Ciara-CloudJul 31, 20242 min read

Diese Seite ist auch in English, Español, Français, Italiano, 日本語 und Português verfügbar.

Bild von Miha Creative

Hallo zusammen,

mit diesem Beitrag möchten wir von doit.com Sie auf ein wichtiges Sicherheitsupdate von Amazon Web Services (AWS) zum Elastic Container Service (ECS) hinweisen. Betroffen sind insbesondere AWS-Kunden, die im AWS Health Dashboard unter "Other notifications" eine entsprechende Meldung erhalten haben.

Sicherheitsbenachrichtigung im AWS Health Dashboard

Ihre Benachrichtigungen finden Sie hier.

Ab heute, dem 31. Juli 2024, setzt AWS für API-Aufrufe, die ECS-Ressourcen bereits bei der Erstellung taggen, die Berechtigung ecs:TagResource voraus. Die Änderung wurde ursprünglich am 18. April 2023 angekündigt und soll AWS-Kunden mehr Kontrolle über das Tagging von ECS-Ressourcen geben.

Betroffene APIs

Folgende APIs sind betroffen:

- CreateCapacityProvider

- CreateCluster

- CreateService

- CreateTaskSet

- RegisterContainerInstance

- RegisterTaskDefinition

- RunTask

- StartTask

Was passiert, wenn Sie nichts ändern?

Fehlt die Berechtigung ecs:TagResource in Ihrer IAM-Policy, erhalten Sie bei ECS-API-Aufrufen mit Tags eine AccessDeniedException. Das kann workloads unterbrechen, die darauf angewiesen sind, ECS-Ressourcen schon beim Erstellen zu taggen.

Ein Beispiel: Erlaubt Ihre IAM-Policy zwar ecs:CreateCluster für alle Ressourcen, deckt aber die Aktion ecs:TagResource nicht ab, schlägt das Erstellen eines Clusters mit Tags mit einer Fehlermeldung fehl. So sieht das aus:

{
  "Version": "2012-10-17",
  "Statement": [\
    {\
      "Sid": "AllowCreateCluster",\
      "Effect": "Allow",\
      "Action": [\
        "ecs:CreateCluster"\
      ],\
      "Resource": "*"\
    }\
  ]
}

Führen Sie folgenden Create-Cluster-Request aus:

aws ecs create-cluster --cluster-name MyCluster --tags key=key1,value=value1

erhalten Sie diese Antwort mit verweigertem Tagging:

An error occurred (AccessDeniedException) when calling the CreateCluster operation:
User: is not authorized to perform: ecs:TagResource on resource: cluster/MyCluster because no identity-based policy allows the ecs:TagResource action

Die Lösung: IAM-Policy anpassen

Um das zu vermeiden, sollten Sie in Ihrer IAM-Policy die Aktion ecs:TagResource ausdrücklich erlauben. So lässt sich Ihre IAM-Policy zum Beispiel anpassen:


"Statement": [\
  {\
    "Sid": "AllowCreateCluster",\
    "Effect": "Allow",\
    "Action": [ "ecs:CreateCluster" ],\
    "Resource": "*"\
  },\
  {\
    "Sid": "AllowTagging",\
    "Effect": "Allow",\
    "Action": [ "ecs:TagResource" ],\
    "Resource": "*"\
  }\
]

Damit laufen ECS-API-Aufrufe mit Tag-on-Create auch ab dem 31. Juli 2024 reibungslos weiter.

Da die Änderung heute für die betroffenen AWS-Konten greift, empfehlen wir dringend, Ihre IAM-Policies jetzt zu aktualisieren, um Ausfälle zu vermeiden.

Wir hoffen, dieser Beitrag hilft Ihnen weiter. Bei Fragen oder Klärungsbedarf erreichen Sie uns jederzeit unter doit.com