有没有办法在某些IAM角色下运行ECS容器?
基本上,如果您的代码/服务器依赖于IAM角色来访问AWS资源(例如S3存储桶或Dynamo表),那么当您将该代码/服务器作为ECS容器运行时,会发生什么?你能控制每个容器的角色吗?
答案 0 :(得分:4)
更新2 :现在,任务级别支持角色
更新:Lyft有一个名为' metadataproxy'的开源软件。它声称可以解决这个问题,但它已收到一些安全问题。
启动容器主机(连接到群集的实例)时,这称为容器实例。
此实例将附加一个IAM角色(在指南中,我认为ecsInstanceProfile是名称)。
此实例运行ecs代理(以及随后的docker)。这种方式的工作方式是在运行任务时,实际的容器会调用AWS服务或从AWS服务调用等。这会吞噬我的主机(代理),因为它实际上是控制网络进出Docker容器。现在这种流量来自代理商。
所以不,你不能在每个容器的基础上控制IAM角色,你需要通过加入集群的实例(代理)来做到这一点。
IE中。
您加入i-aaaaaaa并且它具有ECS IAM策略+ S3只读集群。 你加入了i-bbbbbbb,它有ECS IAM策略+ S3读/写集群。
您启动任务' c'需要r / w到S3。您想确保它在i-bbbbbb上运行