Назад | Перейти на главную страницу

Можно ли использовать роли IAM для задач ECS в приложении Elastic Beanstalk?

Я поддерживаю проект, работающий на Elastic Beanstalk на Платформа Multicontainer Docker. Для безопасного доступа к хранилищу параметров SSM я хотел бы предоставить конкретным контейнерам доступ к определенным ролям IAM. Чтобы минимизировать ненужные привилегии, некоторые контейнеры вообще не должны иметь доступа к этим ролям.

В этой конфигурации Elastic Beanstalk использует для развертывания службу контейнеров EC2. ECS предлагает возможность указать Роли IAM для задач в определениях задач (через taskRoleArn параметр).

Я хотел бы использовать эту функцию ECS в EB. Есть ли способ настроить (или заменить) определения задач, создаваемые EB? Я думаю, можно было бы использовать Файл конфигурации .ebextensions для настройки ресурсов среды, но пока не повезло.

Согласно поддержке AWS, в настоящее время это невозможно. Однако они подняли запрос функции. Так что можно было бы установить taskRoleArn параметр в Dockerrun.aws.json файл в будущем.

Кроме того, при использовании платформы Multicontainer Docker невозможно создать или переопределить определения задач ECS с помощью файла конфигурации .ebextensions.