2
有没有办法在某些IAM角色下运行ECS容器?将IAM角色应用于ECS实例
基本上,如果您有一个依赖IAM角色访问AWS资源(如S3存储桶或Dynamo表)的代码/服务器,那么当您将该代码/服务器作为ECS容器运行时,会发生什么?你可以控制每个容器的角色吗?
A
回答
3
启动容器主机(连接到集群的实例)时,这称为容器实例。
此实例将附加一个IAM角色(在指南中它是ecsInstanceProfile,我认为是名称)。
此实例运行ecs代理(随后运行docker)。这种方式的工作方式是在任务运行时,实际容器向/从AWS服务等进行调用。这会吞噬我的主机(代理程序),因为它实际上是控制网络进出Docker容器。现在这种流量现在来自代理。
因此,不能,您无法控制每个容器的IAM角色,您需要通过加入群集的实例(代理程序)来执行此操作。
即,
您加入i-aaaaaaa并且它具有ECS IAM策略+ S3只读到群集。 您加入了i-bbbbbbb,并且它具有ECS IAM策略+ S3读取/写入群集。
您启动需要r/w到S3的任务'c'。你会希望确保它运行在I-BBBBBB
更新:Lyft有一个名为“metadataproxy”号称能解决这个问题,一个开源的东西,但它已经收到了一些安全问题。
更新2:任务级别现在支持角色
相关问题
- 1. 我们如何将IAM角色应用于ec2实例?
- 2. AWS承担EC2实例IAM角色不起作用的角色
- 3. AWS IAM策略通过关联的IAM角色限制实例
- 4. Ansible模块将IAM角色附加到现有的EC2实例
- 5. 如何将IAM角色添加到aws中的现有实例?
- 6. CloudFormation IAM角色 - AssumeRolePolicyDocument
- 7. Terraform:AWS Redshift IAM角色
- 8. 具有跨账户IAM角色的EC2实例
- 9. 通过与boto关联的IAM角色过滤ec2实例
- 10. Google云IAM角色只启动/停止实例?
- 11. 通过Putty通过IAM角色访问AWS实例
- 12. Ansible:将IAM角色应用于ec2机器,同时部署使用可行
- 13. IAM,应用策略只标记实例
- 14. 从Web角色应用配置到工人的角色实例
- 15. boto问题与IAM角色
- 16. 重命名IAM角色
- 17. 将安全组动态应用到ECS容器实例
- 18. IAM使用ecs-cli时出错
- 19. 将实例注册到AWS ECS群集
- 20. 传递式使用IAM角色
- 21. Cross Account SQS Subcribe使用IAM角色
- 22. PySpark使用IAM角色访问S3
- 23. AWS SWF使用IAM角色的问题
- 24. 亚马逊SES - 使用IAM角色
- 25. 配置jboss以使用Amazon IAM角色
- 26. 使用IAM角色的Terraform假定
- 27. 不能在ECS实例
- 28. AWS ECS容器实例
- 29. 根据cognito user-sub(userId)使用IAM分配IAM角色条件
- 30. 如何使用Terraform将多个IAM策略附加到IAM角色?