การจัดการข้อมูลรับรองความปลอดภัย IAM สำหรับคอนเทนเนอร์หลายตัวเทียบท่า


11

ภายในสภาพแวดล้อม EC2 ธรรมดาการจัดการการเข้าถึงทรัพยากร AWS อื่น ๆ นั้นค่อนข้างตรงไปตรงมากับบทบาทและข้อมูลประจำตัวของ IAM (ดึงมาจากข้อมูลเมตาของอินสแตนซ์โดยอัตโนมัติ) ง่ายยิ่งขึ้นด้วย CloudFormation ซึ่งคุณสามารถสร้างบทบาทได้ทันทีเมื่อคุณกำหนดบทบาทแอปพลิเคชันเฉพาะให้กับอินสแตนซ์

ถ้าฉันต้องการย้ายไปยัง Docker และมีการปรับใช้ M-to-N ซึ่งฉันมีเครื่อง M และแอปพลิเคชัน N ที่ทำงานอยู่ฉันควรจะ จำกัด การเข้าถึงทรัพยากร AWS ต่อแอปพลิเคชันอย่างไร ทุกคนบนโฮสต์สามารถเข้าถึงข้อมูลเมตาของอินสแตนซ์ได้ดังนั้นฉันจึงมีทุกแอปพลิเคชันที่สามารถดู / แก้ไขข้อมูลของแอปพลิเคชันอื่น ๆ ในสภาพแวดล้อมการปรับใช้เดียวกัน

แนวปฏิบัติที่ดีที่สุดสำหรับการจัดหาข้อมูลรับรองความปลอดภัยให้กับคอนเทนเนอร์ของแอปพลิเคชันที่ทำงานในสภาพแวดล้อมดังกล่าวคืออะไร

คำตอบ:


5

มีโครงการนี้: https://github.com/dump247/docker-ec2-metadata

มันทำหน้าที่เป็นพร็อกซีไปยังจุดปลาย meta-data ของอินสแตนซ์โดยส่งคืนบทบาทเฉพาะไปยังคอนเทนเนอร์ ฉันไม่ได้ใช้มันมาก่อน แต่ดูเหมือนว่าจะแก้ปัญหากรณีใช้ที่คุณกำลังอธิบาย


1

การใช้สิทธิ์น้อยที่สุดโดยใช้บทบาทและกลุ่มรักษาความปลอดภัย (แม้ว่าคุณจะไม่ได้กล่าวถึง) ใน AWS ด้วย EC2 เป็นแนวทางปฏิบัติที่ดีที่สุดในการจัดเตรียมสภาพแวดล้อมที่ปลอดภัยสำหรับแอปพลิเคชันโฮสต์ของคุณโดยเฉพาะเมื่อใช้ CloudFormation อย่างไรก็ตามเมื่อคุณเลเยอร์สภาพแวดล้อม Docker ที่มีผู้เช่าหลายคนอยู่ด้านบนของสิ่งนั้นก็คือเมื่อสิ่งต่าง ๆ เริ่มแตกสลาย

คำตอบที่ดีที่สุดในขณะนี้เพื่อรับประโยชน์ของบทบาทต่อไปในขณะที่ใช้สิทธิ์น้อยที่สุดคือการไม่ใช้วิธีการแบบหลายผู้เช่า โดยทั่วไปใช้การทำแผนที่แบบหนึ่งต่อหนึ่งระหว่างอินสแตนซ์ EC2 และแอปพลิเคชัน แต่คุณยังสามารถใช้กลุ่ม / ASG นักเทียบท่ายังคงเป็นเครื่องมือที่มีประโยชน์และทรงพลังอย่างยิ่งคุณสามารถใช้เพื่อจัดการและปรับใช้แอปพลิเคชันของคุณได้ แต่ตอนนี้บทบาทจะใช้กับอินสแตนซ์ EC2 ไม่ใช่คอนเทนเนอร์ นั่นหมายถึงการใช้ VM แยกต่างหากสำหรับแต่ละแอปพลิเคชัน

หากการเป็นผู้เช่าหลายคนมีความสำคัญมากกว่าบทบาทดังนั้นคำตอบคือไม่ใช้ Roles และแจกจ่ายหนังสือรับรอง AWS ให้กับแอปพลิเคชันของคุณโดยใช้วิธีอื่น

น่าเสียดายที่โซลูชันเหล่านี้ไม่เป็นที่พึงปรารถนาและฉันคาดว่าจุดปวดเฉพาะนี้จะได้รับการแก้ไขโดย AWS ในอนาคตเนื่องจากความนิยมที่เพิ่มขึ้นของตู้คอนเทนเนอร์

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.