画像: Miha Creative
AWSをご利用の皆様へ
DoiT(doit.com)より、Amazon Web Services(AWS)のElastic Container Service(ECS)に関する重要なセキュリティアップデートをお知らせします。本アップデートは、AWS Health Dashboardの「その他の通知」で案内を受け取った一部のAWSユーザーが対象です。
AWS Health Dashboardからのセキュリティ通知
通知はこちらから確認できます。
本日2024年7月31日より、AWSはECSリソース作成時にタグ付けを行うAPI呼び出しに対してecs:TagResource権限を必須とします。2023年4月18日に発表されたこの変更は、ECSリソースのタグ付けをユーザー側でより細かく制御できるようにすることを目的としています。
影響を受けるAPI
本変更の対象APIは以下のとおりです。
- CreateCapacityProvider
- CreateCluster
- CreateService
- CreateTaskSet
- RegisterContainerInstance
- RegisterTaskDefinition
- RunTask
- StartTask
更新しないとどうなる?
IAMポリシーにecs:TagResource権限が含まれていない場合、タグ付きでECS APIを呼び出した際にAccessDeniedExceptionが返されます。ECSリソース作成時のタグ付けに依存しているworkloadsが中断される可能性があります。
たとえば、すべてのリソースに対してecs:CreateCluster権限を付与していても、ecs:TagResourceアクションが含まれていないIAMポリシーでは、タグ付きでクラスターを作成しようとするとエラーになります。具体例は次のとおりです。
{
"Version": "2012-10-17",
"Statement": [\
{\
"Sid": "AllowCreateCluster",\
"Effect": "Allow",\
"Action": [\
"ecs:CreateCluster"\
],\
"Resource": "*"\
}\
]
}
このポリシーで以下のCreate Clusterリクエストを実行すると:
aws ecs create-cluster --cluster-name MyCluster --tags key=key1,value=value1
次のようなタグ付け拒否のレスポンスが返ります。
An error occurred (AccessDeniedException) when calling the CreateCluster operation:
User: is not authorized to perform: ecs:TagResource on resource: cluster/MyCluster because no identity-based policy allows the ecs:TagResource action
対処方法:IAMポリシーを更新する
これを回避するには、IAMポリシーを更新しecs:TagResourceアクションを明示的に許可してください。更新例は次のとおりです。
"Statement": [\
{\
"Sid": "AllowCreateCluster",\
"Effect": "Allow",\
"Action": [ "ecs:CreateCluster" ],\
"Resource": "*"\
},\
{\
"Sid": "AllowTagging",\
"Effect": "Allow",\
"Action": [ "ecs:TagResource" ],\
"Resource": "*"\
}\
]
この更新により、2024年7月31日以降もtag-on-createを伴うECS API呼び出しが問題なく実行できます。
本日より対象のAWSユーザーに変更が適用されますので、業務への影響を避けるためにもIAMポリシーの更新を強くお勧めします。
本記事がお役に立てば幸いです。ご質問や詳細についてのご相談は、DoiT(doit.com)までお気軽にお問い合わせください。