Ale*_*x B 11 security amazon-web-services amazon-iam docker
在普通的 EC2 环境中,使用 IAM 角色和凭证(从实例元数据自动获取)管理对其他 AWS 资源的访问非常简单。使用 CloudFormation 更容易,当您将特定应用程序角色分配给实例时,您可以在其中即时创建角色。
如果我想迁移到 Docker 并进行 M 对 N 部署,其中有 M 台机器和 N 个应用程序在其上运行,我应该如何限制对每个应用程序 AWS 资源的访问?主机上的任何人都可以访问实例元数据,因此我希望每个应用程序都能够查看/修改同一部署环境中每个其他应用程序的数据。
为在此类环境中运行的应用程序容器提供安全凭证的最佳实践是什么?
小智 5
有这个项目:https : //github.com/dump247/docker-ec2-metadata
它充当实例元数据端点的代理,返回特定于容器的角色。我以前没有使用过它,但它似乎解决了您所描述的用例。
小智 1
在具有 EC2 的 AWS 中使用角色和安全组(即使您没有提及)来应用最小权限都是为托管应用程序提供安全环境的最佳实践,尤其是在使用 CloudFormation 时。然而,当你在其之上分层构建多租户 Docker 环境时,事情就开始崩溃了。
现在,要在应用最小权限的同时继续获得角色的好处,最好的答案是不使用多租户方法。基本上在 EC2 实例和应用程序之间使用一对一映射,但您仍然可以使用集群/ASG。Docker 仍然是一个非常有用且强大的工具,可用于管理和部署应用程序,但目前角色适用于 EC2 实例而不是容器。这意味着现在为每个应用程序使用单独的虚拟机。
如果多租户比角色更重要,那么答案是不使用角色并使用其他方法将 AWS 凭证分发到您的应用程序。
不幸的是,这些解决方案都不是非常理想,我预计 AWS 将来会解决这个特定的痛点,主要是由于容器的日益普及。
| 归档时间: |
|
| 查看次数: |
1231 次 |
| 最近记录: |