Я поддерживаю проект, работающий на Elastic Beanstalk на Платформа Multicontainer Docker. Для безопасного доступа к хранилищу параметров SSM я хотел бы предоставить конкретным контейнерам доступ к определенным ролям IAM. Чтобы минимизировать ненужные привилегии, некоторые контейнеры вообще не должны иметь доступа к этим ролям.
В этой конфигурации Elastic Beanstalk использует для развертывания службу контейнеров EC2. ECS предлагает возможность указать Роли IAM для задач в определениях задач (через taskRoleArn
параметр).
Я хотел бы использовать эту функцию ECS в EB. Есть ли способ настроить (или заменить) определения задач, создаваемые EB? Я думаю, можно было бы использовать Файл конфигурации .ebextensions для настройки ресурсов среды, но пока не повезло.
Согласно поддержке AWS, в настоящее время это невозможно. Однако они подняли запрос функции. Так что можно было бы установить taskRoleArn
параметр в Dockerrun.aws.json
файл в будущем.
Кроме того, при использовании платформы Multicontainer Docker невозможно создать или переопределить определения задач ECS с помощью файла конфигурации .ebextensions.