With PerfectScale™ for Commitments, we're bringing rate optimization to every cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Atualização de segurança do AWS ECS

By Ciara-CloudJul 31, 20242 min read

Esta página também está disponível em English, Deutsch, Español, Français, Italiano e 日本語.

Imagem de Miha Creative

Olá, usuários da AWS,

Aqui na doit.com, escrevemos este post para chamar a sua atenção para uma importante atualização de segurança da Amazon Web Services (AWS) sobre o Elastic Container Service (ECS). Essa atualização afeta especificamente alguns usuários da AWS que receberam uma notificação no AWS Health Dashboard, na seção Other notifications.

Notificação de segurança no AWS Health Dashboard

Você pode conferir suas notificações aqui.

A partir de hoje, 31/07/2024, a AWS passa a exigir a permissão ecs:TagResource nas chamadas de API que aplicam tags a recursos do ECS no momento da criação. Essa mudança, anunciada inicialmente em 18/04/2023, foi pensada para dar aos clientes da AWS mais controle sobre a aplicação de tags em recursos do ECS.

APIs afetadas

A mudança afeta as seguintes APIs:

- CreateCapacityProvider

- CreateCluster

- CreateService

- CreateTaskSet

- RegisterContainerInstance

- RegisterTaskDefinition

- RunTask

- StartTask

O que acontece se você não atualizar?

Se a sua política IAM não incluir a permissão ecs:TagResource, você receberá um AccessDeniedException ao fazer chamadas de API do ECS com tags. Isso pode interromper workloads que dependem da aplicação de tags em recursos do ECS no momento da criação.

Por exemplo: se a sua política IAM concede a permissão ecs:CreateCluster a todos os recursos, mas não inclui a ação ecs:TagResource, você vai se deparar com um erro ao tentar criar um cluster com tags. Veja um exemplo:

{
  "Version": "2012-10-17",
  "Statement": [\
    {\
      "Sid": "AllowCreateCluster",\
      "Effect": "Allow",\
      "Action": [\
        "ecs:CreateCluster"\
      ],\
      "Resource": "*"\
    }\
  ]
}

Ao executar a seguinte requisição de Create Cluster:

aws ecs create-cluster --cluster-name MyCluster --tags key=key1,value=value1

Você receberá esta resposta de Tagging negada:

An error occurred (AccessDeniedException) when calling the CreateCluster operation:
User: is not authorized to perform: ecs:TagResource on resource: cluster/MyCluster because no identity-based policy allows the ecs:TagResource action

Como resolver? Atualize a sua política IAM

Para evitar o problema, atualize a sua política IAM e libere explicitamente a ação ecs:TagResource. Veja como fazer isso:


"Statement": [\
  {\
    "Sid": "AllowCreateCluster",\
    "Effect": "Allow",\
    "Action": [ "ecs:CreateCluster" ],\
    "Resource": "*"\
  },\
  {\
    "Sid": "AllowTagging",\
    "Effect": "Allow",\
    "Action": [ "ecs:TagResource" ],\
    "Resource": "*"\
  }\
]

Com essa atualização, as chamadas de API do ECS com tag-on-create vão continuar funcionando a partir de 31/07/2024.

Como a mudança entra em vigor hoje para os usuários da AWS afetados, recomendamos fortemente que você atualize as suas políticas IAM para evitar qualquer interrupção.

Esperamos que este post tenha sido útil. Se tiver alguma dúvida ou precisar de mais esclarecimentos, fale com a gente em doit.com