堆栈内存溢出
  繁体   English   中英

Amazon ECS - 在 Docker 入口点上使用 IAM 角色时权限被拒绝

[英]Amazon ECS - Permission denied when using IAM role on Docker entrypoint

 原文  2019-05-02 08:10:53       amazon-web-services/ docker/ nginx/ amazon-ecs/ aws-parameter-store

问题描述

我正在寻找一种将机密/证书注入 Amazon ECS 容器的方法。 就我而言,它是一个简单的 nginx 容器。

我一直在关注这篇文章,使用 AWS Parameter Store: https : //aws.amazon.com/blogs/compute/managing-secrets-for-amazon-ecs-applications-using-parameter-store-and-iam-roles - 任务/

这是基本要点:

  1. 在我的 Dockerfile 上,我在入口点附加了一个脚本,用于安装 AWS 客户端并从 AWS 参数存储中获取密钥。

文件

FROM nginx:1.16.0

...
ENTRYPOINT ["/var/run/fetch.sh", "nginx", "-g", "daemon off;"]

获取.sh

        aws ssm get-parameter \
            --name ${key} \
            --with-decryption \
            --region us-east-1 \
            --output text \
            --query Parameter.Value
  1. 任务定义承担一个 IAM 角色,该角色有权访问所需的服务(kms + 参数存储)。 我可以验证这是否有效,因为如果我通过 SSH 连接到服务器并在容器上运行脚本,我可以从 Parameter Store 获取密钥。
  {
    "portMappings": [
      {
        "hostPort": 0,
        "protocol": "tcp",
        "containerPort": 443
      }
    ],
    "cpu": 0,
    "environment": [],
    "mountPoints": [],
    "memoryReservation": 256,
    "memory": 512,
    "volumesFrom": [],
    "image": "url/some_image:latest",
    "essential": true,
    "name": "my-container"
  }
  1. 当 ECS 运行此任务时,它应该命中从参数存储中获取密钥并保存它们的入口点

我可以通过 docker exec 手动运行来获取正在运行的任务上的密钥,但是在启动任务时我无法获取它们(特别是当我在入口点附加脚本时,如上面的代码一样)。

ECS 任务是否可以访问入口点的 IAM 角色? 它何时实际承担 IAM 角色?

1 个解决方案

解决方案1
 1 已采纳  2019-05-02 08:26:17

您现在可以使用任务定义的containerDefinitions中的secrets轻松地从 SSM 或 Secrets Manager 注入机密。 使用此解决方案,您不必再运行/管理您的自定义脚本来获取您的机密。

它看起来像这样:

{
    "containerDefinitions": [{
        "secrets": [{
            "name": "environment_variable_name",
            "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name-AbCdEf"
        }]
    }]
}

{
    "containerDefinitions": [{
        "secrets": [{
            "name": "environment_variable_name",
            "valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name"
        }]
    }]
}

查看AWS 推出对 Amazon Elastic Container Service 的秘密支持指定敏感数据

您必须具有任务执行角色并在您的任务定义中引用它。 示例政策:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters",
        "secretsmanager:GetSecretValue",
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:ssm:<region>:<aws_account_id>:parameter/parameter_name",
        "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:secret_name",
        "arn:aws:kms:<region>:<aws_account_id>:key/key_id"
      ]
    }
  ]
}

Amazon ECS 密钥所需的 IAM 权限中的更多信息。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 映射具有角色的IAM用户后,权限被拒绝 使用 Cognito UnAuth 角色时的 IAM 权限问题 使用Paperclip和IAM策略将文件上载到Amazon时拒绝访问 获取具有 IAM 角色的 ECS 的凭证 向IAM角色添加权限 使用 docker 组合在 Amazon ECS 上部署应用程序 使用Amazon ECS运行Docker Network 使用 AWS lambda 触发异步 amazon Comprehend 作业时,我的 iam 角色出现问题 尝试使用 GCP IAM 身份验证从 Vault 读取机密时出现 403 权限被拒绝 通过 boto3 担任 IAM 用户角色时访问被拒绝
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM