With PerfectScale™ for Commitments, we're bringing rate optimization to every cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Mise à jour de sécurité AWS ECS

By Ciara-CloudJul 31, 20242 min read

Cette page est également disponible en English, Deutsch, Español, Italiano, 日本語 et Português.

Image de Miha Creative

Bonjour à tous les utilisateurs AWS,

Chez doit.com, nous publions cet article pour attirer votre attention sur une mise à jour de sécurité importante d'Amazon Web Services (AWS) concernant Elastic Container Service (ECS). Elle concerne spécifiquement certains utilisateurs AWS qui en ont été informés via leur AWS Health Dashboard, dans la rubrique Other notifications.

Notification de sécurité depuis l'AWS Health Dashboard

Vous pouvez consulter vos notifications ici.

À compter d'aujourd'hui, le 31 juillet 2024, AWS exigera la permission ecs:TagResource pour tout appel d'API qui applique des tags à des ressources ECS lors de leur création. Ce changement, initialement annoncé le 18 avril 2023, vise à offrir aux clients AWS un contrôle accru sur le tagging des ressources ECS.

APIs concernées

Ce changement touchera les APIs suivantes :

- CreateCapacityProvider

- CreateCluster

- CreateService

- CreateTaskSet

- RegisterContainerInstance

- RegisterTaskDefinition

- RunTask

- StartTask

Que se passe-t-il sans mise à jour ?

Si votre politique IAM n'inclut pas la permission ecs:TagResource, vos appels d'API ECS comportant des tags renverront une AccessDeniedException. Cela peut interrompre les workloads qui reposent sur le tagging des ressources ECS au moment de leur création.

Par exemple, si votre politique IAM accorde la permission ecs:CreateCluster sur toutes les ressources mais omet l'action ecs:TagResource, la création d'un cluster avec des tags échouera. Voici un exemple :

{
  "Version": "2012-10-17",
  "Statement": [\
    {\
      "Sid": "AllowCreateCluster",\
      "Effect": "Allow",\
      "Action": [\
        "ecs:CreateCluster"\
      ],\
      "Resource": "*"\
    }\
  ]
}

En exécutant la requête Create Cluster suivante :

aws ecs create-cluster --cluster-name MyCluster --tags key=key1,value=value1

Vous obtiendrez cette réponse de refus de tagging :

An error occurred (AccessDeniedException) when calling the CreateCluster operation:
User: is not authorized to perform: ecs:TagResource on resource: cluster/MyCluster because no identity-based policy allows the ecs:TagResource action

Comment résoudre ce problème ? Mettez à jour votre politique IAM

Pour éviter ce blocage, mettez à jour votre politique IAM afin d'autoriser explicitement l'action ecs:TagResource. Voici un exemple :


"Statement": [\
  {\
    "Sid": "AllowCreateCluster",\
    "Effect": "Allow",\
    "Action": [ "ecs:CreateCluster" ],\
    "Resource": "*"\
  },\
  {\
    "Sid": "AllowTagging",\
    "Effect": "Allow",\
    "Action": [ "ecs:TagResource" ],\
    "Resource": "*"\
  }\
]

Cette modification garantit que vos appels d'API ECS avec tag-on-create continueront de fonctionner à partir du 31 juillet 2024.

Le changement prenant effet dès aujourd'hui pour les utilisateurs AWS concernés, nous vous recommandons vivement de mettre à jour vos politiques IAM pour éviter toute interruption.

Nous espérons que cet article vous sera utile. Pour toute question ou précision, n'hésitez pas à nous contacter sur doit.com