Amazon ECS が追加の IAM 条件キーのサポートを追加

本記事は、2025 年 2 月 26 日にAWS公式サイトの What’s New with AWS? に掲載された英語記事を自動翻訳したものです。

ニュース内容

Amazon Elastic Container Service (Amazon ECS) は本日、Identity and Access Management (IAM) 用の 8 つの新しいサービス固有の条件キーをリリースしました。これらの新しい条件キーを使用すると、IAM ポリシーとサービス制御ポリシー (SCP) を作成して、コンテナ化された環境で組織のポリシーをより適切に適用できます。

IAM 条件キーを使用すると、API リクエストのコンテキストに基づいてアクセス制御を適用するポリシーを作成できます。本日のリリースでは、Amazon ECS に条件キーが追加され、Amazon ECS にデプロイされたアプリケーションのリソース設定 (ecs:task-cpu、ecs:task:memory、ecs:compute-compatibility)、コンテナ権限 (ecs:privileged)、ネットワーク設定 (ecs:auto-assign-public-ip と ecs:subnet)、タグ伝播 (ecs:propagate-tags と ecs:enable-ecs-managed-tags) に関連するポリシーを適用できるようになりました。たとえば、新しい ecs:auto-assign-public-ip 条件キーを使用して、ECS サービス内のタスクにパブリック IP アドレスが割り当てられないように強制したり、ecs:privileged 条件キーを使用して、基盤となるホストに対する権限を持つタスク定義の登録を防止したりできます。

Amazon ECS の新しい IAM 条件コンテキストキーは、すべての AWS リージョンで利用できます。ECS でサポートされている IAM 条件コンテキストキーの完全なリストを確認し、Amazon ECS での条件キーの使用について詳しくは、ドキュメントを参照してください。

原文

Amazon Elastic Container Service (Amazon ECS) today launched 8 new service-specific condition keys for Identity and Access Management (IAM). These new condition keys let you create IAM policies as well as Service Control Policies (SCPs) to better enforce your organizational policies in containerized environments.

IAM condition keys allow you to author policies that enforce access control based on API request context. With today’s release, Amazon ECS has added condition keys that allow you to enforce policies related to resource configuration (ecs:task-cpu, ecs:task:memory, and ecs:compute-compatibility), container privileges (ecs:privileged), network configuration (ecs:auto-assign-public-ip and ecs:subnet), and tag propagation (ecs:propagate-tags and ecs:enable-ecs-managed-tags) for your applications deployed on Amazon ECS. For example, you can use the new ecs:auto-assign-public-ip condition key to enforce that tasks in your ECS service are not assigned public IP addresses and the ecs:privileged condition key to prevent registration of task definitions with privileges over the underlying host.

The new IAM condition context keys for Amazon ECS are available in all AWS Regions. To see the full list of IAM condition context keys supported by ECS and learn more about using condition keys with Amazon ECS, please refer to our documentation.

引用元：Amazon ECS adds support for additional IAM condition keys