标签: amazon-web-services amazon-ec2 docker credentials
我们在ec2主机上运行了一个docker容器。在该docker容器中,我们运行一些aws cli命令。我们尚未在容器中定义任何AWS凭据。这意味着容器继承了主机ec2的实例配置文件。
我的假设是真的吗?如果是这样,容器究竟如何继承实例配置文件凭据?其次(可能相关)aws cli究竟做了什么来获取实例配置文件凭据?它是否调用元数据端点(169.254.169.254)?例如,如果从环境变量中获取凭据,则凭证是硬编码的,可以看到,但实例配置文件的凭据实际驻留在哪里?
答案 0 :(得分:7)
这是正确的,凭证是主机。它可以从您怀疑的元数据端点获取它们。
提供较窄访问权限的一种解决方案/解决方法是ec2metadataproxy。我还没用过它。
不幸的是,安全组访问也基于主机容器。