2
有沒有辦法在某些IAM角色下運行ECS容器?將IAM角色應用於ECS實例
基本上,如果您有一個依賴IAM角色訪問AWS資源(如S3存儲桶或Dynamo表)的代碼/服務器,那麼當您將該代碼/服務器作爲ECS容器運行時,會發生什麼?你可以控制每個容器的角色嗎?
A
回答
3
啓動容器主機(連接到集羣的實例)時,這稱爲容器實例。
此實例將附加一個IAM角色(在指南中它是ecsInstanceProfile,我認爲是名稱)。
此實例運行ecs代理(隨後運行docker)。這種方式的工作方式是在任務運行時,實際容器向/從AWS服務等進行調用。這會吞噬我的主機(代理程序),因爲它實際上是控制網絡進出Docker容器。現在這種流量現在來自代理。
因此,不能,您無法控制每個容器的IAM角色,您需要通過加入羣集的實例(代理程序)來執行此操作。
即,
您加入i-aaaaaaa並且它具有ECS IAM策略+ S3只讀到羣集。 您加入了i-bbbbbbb,並且它具有ECS IAM策略+ S3讀取/寫入羣集。
您啓動需要r/w到S3的任務'c'。你會希望確保它運行在I-BBBBBB
更新:Lyft有一個名爲「metadataproxy」號稱能解決這個問題,一個開源的東西,但它已經收到了一些安全問題。
更新2:任務級別現在支持角色
相關問題
- 1. 我們如何將IAM角色應用於ec2實例?
- 2. AWS承擔EC2實例IAM角色不起作用的角色
- 3. AWS IAM策略通過關聯的IAM角色限制實例
- 4. Ansible模塊將IAM角色附加到現有的EC2實例
- 5. 如何將IAM角色添加到aws中的現有實例?
- 6. CloudFormation IAM角色 - AssumeRolePolicyDocument
- 7. Terraform:AWS Redshift IAM角色
- 8. 具有跨賬戶IAM角色的EC2實例
- 9. 通過與boto關聯的IAM角色過濾ec2實例
- 10. Google雲IAM角色只啓動/停止實例?
- 11. 通過Putty通過IAM角色訪問AWS實例
- 12. Ansible:將IAM角色應用於ec2機器,同時部署使用可行
- 13. IAM,應用策略只標記實例
- 14. 從Web角色應用配置到工人的角色實例
- 15. boto問題與IAM角色
- 16. 重命名IAM角色
- 17. 將安全組動態應用到ECS容器實例
- 18. IAM使用ecs-cli時出錯
- 19. 將實例註冊到AWS ECS羣集
- 20. 傳遞式使用IAM角色
- 21. Cross Account SQS Subcribe使用IAM角色
- 22. PySpark使用IAM角色訪問S3
- 23. AWS SWF使用IAM角色的問題
- 24. 亞馬遜SES - 使用IAM角色
- 25. 配置jboss以使用Amazon IAM角色
- 26. 使用IAM角色的Terraform假定
- 27. 不能在ECS實例
- 28. AWS ECS容器實例
- 29. 根據cognito user-sub(userId)使用IAM分配IAM角色條件
- 30. 如何使用Terraform將多個IAM策略附加到IAM角色?