有没有办法在某些 IAM 角色下运行 ECS 容器?
基本上,如果您有一个依赖 IAM 角色来访问 AWS 资源(例如 S3 存储桶或 Dynamo 表)的代码/服务器,当您将该代码/服务器作为 ECS 容器运行时,会发生什么?您可以控制每个容器的角色吗?
最佳答案
更新 2:任务级别现在支持角色
更新:Lyft 有一个名为“metadataproxy”的开源产品,声称可以解决此问题,但它存在一些安全问题。
当您启动容器主机(连接到集群的实例)时,这称为容器实例。
该实例将附加一个 IAM 角色(在指南中,我认为它是 ecsInstanceProfile 的名称)。
此实例运行 ecs 代理(以及随后的 docker)。它的工作方式是当任务运行时,实际的容器对 AWS 服务进行调用,等等。这被我的主机(代理)吞没了,因为它实际上控制着 docker 容器的网络进出。现在该流量实际上来自代理。
所以不,您无法在每个容器的基础上控制 IAM 角色,您需要通过加入集群的实例(代理)来实现这一点。
即。
您加入 i-aaaaaaa,它具有 ECS IAM 策略 + S3 只读集群。 您加入 i-bbbbbbbb,它具有 ECS IAM 策略 + S3 读/写集群。
您启动了一个需要读写 S3 的任务“c”。您需要确保它在 i-bbbbbb 上运行
关于amazon-web-services - 将 IAM 角色应用到 ECS 实例,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35629845/