我正在通过 Mesos 将我的微服务部署到 EC2 实例中。问题是我正在与其他团队的微服务共享我的 EC2 实例。所有这些微服务都处理不同的 S3 存储桶,我们不希望其他人访问我们的存储桶。我需要将 IAM 角色分配给我的容器,以便只有我可以通过部署在 EC2 实例中的微服务访问我的 S3 存储桶。 我们没有使用 ECS,而是使用 Mesos 进行部署。任何输入或评论表示赞赏。提前致谢。
【问题讨论】:
标签: amazon-ec2 mesos
对此没有原生 AWS 支持。与此同时,您可以使用 Lyft 的 metadataproxy(另请参阅 blog post)。
引用博客:
我们的想法是构建一个 Web 服务,代理对 http://169.254.169.254 上的元数据服务的调用,并将大部分调用传递给真正的元数据服务,但捕获对 IAM 端点的调用。通过捕获 IAM 端点,我们可以决定我们将交回哪些 IAM 凭证。
...
要知道应该承担哪些 IAM 角色,元数据代理可以访问 docker 套接字。当它收到请求时,它会根据其请求 IP 查找容器,找到该容器的环境变量,并使用 IAM_ROLE 环境变量的值作为要承担的角色。然后它使用 STS 承担角色,将凭据缓存在内存中(用于进一步的请求)并将它们返回给调用者。如果缓存在内存中的凭据设置为过期,代理将重新使用凭据。
【讨论】: