我想确保我没有在源代码或docker镜像中存储敏感密钥和凭据。具体来说,我想存储我的MySQL RDS应用程序凭据,并在容器/任务启动时复制它们。文档提供了retrieving the ecs.config file from s3的示例,我想做类似的事情。
我正在使用Amazon ECS优化的AMI以及一个向我的ECS群集注册的自动缩放组。我正在使用ghost docker image而没有任何自定义。有没有办法配置我想要做的事情?
答案 0 :(得分:0)
您可以在主机上定义卷,并使用只读权限将其映射到容器。 有关为ECS任务配置ECS卷的信息,请参阅以下文档。 http://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_data_volumes.html
即使容器在构建时没有配置,它也会读取配置,就好像它们在自己的文件系统中可用一样。
有许多方法可以保护主机操作系统上的配置。 在我过去的项目中,我通过禁用ssh进入主机并在启动时使用cloud-init注入配置来实现相同目的。