With PerfectScale™ for Commitments, we're bringing rate optimization to every cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Aggiornamento di sicurezza AWS ECS

By Ciara-CloudJul 31, 20242 min read

Questa pagina è disponibile anche in English, Deutsch, Español, Français, 日本語 e Português.

Immagine di Miha Creative

Gentili utenti AWS,

Noi di doit.com abbiamo scritto questo articolo per segnalarle un importante aggiornamento di sicurezza di Amazon Web Services (AWS) relativo a Elastic Container Service (ECS). L'aggiornamento riguarda nello specifico alcuni utenti AWS che hanno ricevuto una notifica nel proprio AWS Health Dashboard, alla voce Other notifications.

Notifica di sicurezza dall'AWS Health Dashboard

Può consultare le notifiche a questo link.

A partire da oggi, 31 luglio 2024, AWS richiederà il permesso ecs:TagResource per le chiamate API che applicano tag alle risorse ECS in fase di creazione. Questa modifica, introdotta originariamente il 18 aprile 2023, ha l'obiettivo di offrire ai clienti AWS un maggior controllo sul tagging delle risorse ECS.

API interessate

La modifica avrà effetto sulle seguenti API:

- CreateCapacityProvider

- CreateCluster

- CreateService

- CreateTaskSet

- RegisterContainerInstance

- RegisterTaskDefinition

- RunTask

- StartTask

Cosa accade in mancanza di aggiornamento?

Se la policy IAM non include il permesso ecs:TagResource, riceverà un AccessDeniedException nelle chiamate API ECS con tag. Le conseguenze possono ripercuotersi sui workloads che si basano sulla possibilità di applicare tag alle risorse ECS al momento della creazione.

Ad esempio, se dispone di una policy IAM che concede il permesso ecs:CreateCluster su tutte le risorse ma non include l'azione ecs:TagResource, otterrà un errore al tentativo di creare un cluster con tag. Ecco un esempio:

{
  "Version": "2012-10-17",
  "Statement": [\
    {\
      "Sid": "AllowCreateCluster",\
      "Effect": "Allow",\
      "Action": [\
        "ecs:CreateCluster"\
      ],\
      "Resource": "*"\
    }\
  ]
}

Eseguendo la seguente Create Cluster Request:

aws ecs create-cluster --cluster-name MyCluster --tags key=key1,value=value1

Otterrà questa Tagging Denied Response:

An error occurred (AccessDeniedException) when calling the CreateCluster operation:
User: is not authorized to perform: ecs:TagResource on resource: cluster/MyCluster because no identity-based policy allows the ecs:TagResource action

Come risolvere: aggiorni la policy IAM

Per evitare il problema, è necessario aggiornare la policy IAM in modo da consentire esplicitamente l'azione ecs:TagResource. Ecco un esempio di come procedere:


"Statement": [\
  {\
    "Sid": "AllowCreateCluster",\
    "Effect": "Allow",\
    "Action": [ "ecs:CreateCluster" ],\
    "Resource": "*"\
  },\
  {\
    "Sid": "AllowTagging",\
    "Effect": "Allow",\
    "Action": [ "ecs:TagResource" ],\
    "Resource": "*"\
  }\
]

Questo aggiornamento assicurerà che le chiamate API ECS con tag-on-create continuino ad andare a buon fine a partire dal 31 luglio 2024.

Dato che la modifica entra in vigore proprio oggi per gli utenti AWS coinvolti, le consigliamo vivamente di aggiornare le policy IAM per evitare qualsiasi interruzione.

Ci auguriamo che questo articolo le sia utile. Per qualsiasi domanda o chiarimento, non esiti a contattarci su doit.com