With PerfectScale™ for Commitments, we're bringing rate optimization to every cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Actualización de seguridad de AWS ECS

By Ciara-CloudJul 31, 20242 min read

Esta página también está disponible en English, Deutsch, Français, Italiano, 日本語 y Português.

Imagen de Miha Creative

Hola a todos los usuarios de AWS:

En doit.com queremos compartir esta publicación para avisarte sobre una importante actualización de seguridad de Amazon Web Services (AWS) relacionada con Elastic Container Service (ECS). Esta actualización afecta puntualmente a algunos usuarios de AWS que ya recibieron la notificación en su AWS Health Dashboard, dentro de la sección Other notifications.

Notificación de seguridad desde el AWS Health Dashboard

Puedes consultar tus notificaciones aquí.

A partir de hoy, 31 de julio de 2024, AWS exigirá el permiso ecs:TagResource para hacer llamadas a la API que etiqueten recursos de ECS al momento de crearlos. Este cambio, anunciado originalmente el 18 de abril de 2023, busca darle a los clientes de AWS mayor control sobre el etiquetado de los recursos de ECS.

APIs afectadas

Este cambio afectará a las siguientes APIs:

- CreateCapacityProvider

- CreateCluster

- CreateService

- CreateTaskSet

- RegisterContainerInstance

- RegisterTaskDefinition

- RunTask

- StartTask

¿Qué pasa si no actualizas?

Si tu política IAM no incluye el permiso ecs:TagResource, recibirás un AccessDeniedException al hacer llamadas a la API de ECS con etiquetas. Esto podría interrumpir tus workloads que dependen de poder etiquetar recursos de ECS al crearlos.

Por ejemplo, si tienes una política IAM que otorga el permiso ecs:CreateCluster sobre todos los recursos pero no incluye la acción ecs:TagResource, te encontrarás con un error al intentar crear un cluster con etiquetas. Aquí va un ejemplo:

{
  "Version": "2012-10-17",
  "Statement": [\
    {\
      "Sid": "AllowCreateCluster",\
      "Effect": "Allow",\
      "Action": [\
        "ecs:CreateCluster"\
      ],\
      "Resource": "*"\
    }\
  ]
}

Si ejecutas la siguiente solicitud Create Cluster:

aws ecs create-cluster --cluster-name MyCluster --tags key=key1,value=value1

Recibirás esta respuesta de etiquetado denegado:

An error occurred (AccessDeniedException) when calling the CreateCluster operation:
User: is not authorized to perform: ecs:TagResource on resource: cluster/MyCluster because no identity-based policy allows the ecs:TagResource action

¿Cómo se soluciona? Actualiza tu política IAM

Para evitarlo, debes actualizar tu política IAM y permitir explícitamente la acción ecs:TagResource. Aquí va un ejemplo de cómo hacerlo:


"Statement": [\
  {\
    "Sid": "AllowCreateCluster",\
    "Effect": "Allow",\
    "Action": [ "ecs:CreateCluster" ],\
    "Resource": "*"\
  },\
  {\
    "Sid": "AllowTagging",\
    "Effect": "Allow",\
    "Action": [ "ecs:TagResource" ],\
    "Resource": "*"\
  }\
]

Con esta actualización te aseguras de que las llamadas a la API de ECS con tag-on-create sigan funcionando a partir del 31 de julio de 2024.

Como el cambio entra en vigor hoy mismo para los usuarios de AWS afectados, te recomendamos mucho actualizar tus políticas IAM cuanto antes para evitar interrupciones.

Esperamos que esta publicación te haya resultado útil. Si tienes alguna duda o necesitas más información, no dudes en escribirnos en doit.com

Actualización de seguridad de AWS ECS