Quản lý thông tin bảo mật IAM cho nhiều container docker


11

Trong môi trường EC2 đơn giản, việc quản lý quyền truy cập vào các tài nguyên AWS khác khá đơn giản với các vai trò và thông tin IAM (được tự động tìm nạp từ siêu dữ liệu phiên bản). Thậm chí dễ dàng hơn với CloudFormation, nơi bạn có thể tạo các vai trò nhanh chóng khi bạn gán một vai trò ứng dụng cụ thể cho một thể hiện.

Nếu tôi muốn di chuyển sang Docker và có một loại triển khai M-to-N, nơi tôi có máy M và ứng dụng N chạy trên đó, tôi nên hạn chế quyền truy cập vào tài nguyên AWS trên mỗi ứng dụng như thế nào? Bất kỳ ai trên máy chủ đều có thể truy cập siêu dữ liệu, vì vậy tôi có mọi ứng dụng có thể xem / sửa đổi dữ liệu của mọi ứng dụng khác trong cùng một môi trường triển khai.

Các thực tiễn tốt nhất để cung cấp thông tin xác thực bảo mật cho các thùng chứa ứng dụng đang chạy trong môi trường như vậy là gì?

Câu trả lời:


5

Có dự án này: https://github.com/dump247/docker-ec2-metadata

Nó hoạt động như một proxy cho điểm cuối siêu dữ liệu thể hiện, trả về một vai trò cụ thể cho vùng chứa. Tôi chưa từng sử dụng nó trước đây, nhưng nó dường như giải quyết trường hợp sử dụng mà bạn đang mô tả.


1

Áp dụng đặc quyền tối thiểu bằng cách sử dụng Vai trò và Nhóm bảo mật (mặc dù bạn không đề cập đến chúng) trong AWS với EC2 là cả hai cách tốt nhất để cung cấp môi trường an toàn cho các ứng dụng lưu trữ của bạn, đặc biệt là khi sử dụng CloudFormation. Tuy nhiên, khi bạn tạo một môi trường Docker nhiều bên thuê trên đó là khi mọi thứ bắt đầu sụp đổ.

Câu trả lời tốt nhất ngay bây giờ để tiếp tục nhận được lợi ích của Vai trò trong khi áp dụng đặc quyền tối thiểu là không sử dụng phương pháp tiếp cận nhiều người thuê. Về cơ bản sử dụng ánh xạ một-một giữa ứng dụng và ứng dụng EC2, nhưng bạn vẫn có thể sử dụng các cụm / ASG. Docker vẫn là một công cụ cực kỳ hữu ích và mạnh mẽ mà bạn có thể sử dụng để quản lý và triển khai các ứng dụng của mình, nhưng hiện tại Vai trò áp dụng tại phiên bản EC2 chứ không phải container. Điều đó có nghĩa là sử dụng các VM riêng cho từng ứng dụng.

Nếu nhiều người thuê nhà quan trọng hơn Vai trò thì câu trả lời là không sử dụng Vai trò và phân phối thông tin xác thực AWS cho các ứng dụng của bạn bằng một số phương pháp khác.

Thật không may, cả hai giải pháp này đều không được mong muốn và tôi hy vọng điểm đau cụ thể này sẽ được AWS giải quyết trong tương lai do chủ yếu là sự phổ biến ngày càng tăng của container.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.