Birden çok liman işçisi kapsayıcısı için IAM güvenlik kimlik bilgilerini yönetme

Basit EC2 ortamında, diğer AWS kaynaklarına erişimi yönetmek, IAM rolleri ve kimlik bilgileriyle (örnek meta verilerinden otomatik olarak getirilir) oldukça kolaydır. Bir örneğe belirli bir uygulama rolü atadığınızda anında roller oluşturabileceğiniz CloudFormation ile daha da kolay.

Docker'a geçmek ve üzerinde M makineleri ve N uygulamalarının çalıştığı bir çeşit M-N dağıtımına sahip olmak istersem, uygulama başına AWS kaynaklarına erişimi kısıtlamaya nasıl devam etmeliyim? Eşgörünüm meta verilerine ana bilgisayardaki herkes erişebilir, bu nedenle her uygulamanın aynı dağıtım ortamındaki diğer tüm uygulamaların verilerini görebilmesini / değiştirebilmesini isterdim.

Bu ortamda çalışan uygulama kapsayıcılarına güvenlik kimlik bilgileri sağlamak için en iyi uygulamalar nelerdir?

Bu proje var: https://github.com/dump247/docker-ec2-metadata

Kapsayıcıya özgü bir rol döndürerek, örnek meta veri uç noktasına bir proxy görevi görür. Daha önce kullanmadım, ancak tarif ettiğiniz kullanım senaryosunu çözüyor gibi görünüyor.

EC2'li AWS'de Roller ve Güvenlik Grupları kullanarak en az ayrıcalık uygulamak, özellikle CloudFormation kullanırken barındırma uygulamalarınız için güvenli bir ortam sağlamak için en iyi uygulamalardır. Bununla birlikte, bunun üzerine çok kiracılı bir Docker ortamı katmanlaştırdığınızda, işler dağılmaya başlar.

En az ayrıcalık uygularken Rollerden yararlanmaya devam etmek için şu anda en iyi cevap, çok kiracılı bir yaklaşım kullanmamaktır. Temel olarak EC2 örneği ve uygulaması arasında bire bir eşleme kullanın, ancak yine de kümeler / ASG'ler kullanabilirsiniz. Docker, uygulamalarınızı yönetmek ve dağıtmak için kullanabileceğiniz son derece kullanışlı ve güçlü bir araçtır, ancak şimdilik Roller EC2 örneğinde geçerlidir, kapsayıcıda geçerli değildir. Bu, şimdilik her uygulama için ayrı VM'ler kullanmak anlamına geliyor.

Çok kiracılı olmak Rollerden daha önemliyse, yanıt Rolleri kullanmamak ve AWS kimlik bilgilerini başka bir yöntem kullanarak uygulamalarınıza dağıtmaktır.

Ne yazık ki bu çözümlerin hiçbiri çok arzu edilmemektedir ve bu spesifik ağrı noktasının gelecekte kapsayıcıların artan popülaritesi nedeniyle gelecekte AWS tarafından ele alınmasını bekliyorum.