Я поддерживаю проект, работающий на Elastic Beanstalk на платформе Multicontainer Docker . Для безопасного доступа к хранилищу параметров SSM я хотел бы предоставить конкретным контейнерам доступ к определенным ролям IAM. Чтобы минимизировать ненужные привилегии, некоторые контейнеры вообще не должны иметь доступа к этим ролям.
В этой конфигурации Elastic Beanstalk использует для развертывания службу контейнеров EC2. ECS предлагает возможность указать роли IAM для задач в определениях задач (с помощью параметра taskRoleArn
).
Я хотел бы использовать эту функцию ECS в EB. Есть ли способ настроить (или заменить) определения задач, создаваемые EB? Я думаю, что можно было бы использовать файл конфигурации .ebextensions для настройки ресурсов среды, но пока не повезло.
По данным службы поддержки AWS, в настоящее время это невозможно. Однако они подняли запрос функции. Так что в будущем можно будет установить параметр taskRoleArn
в файле Dockerrun.aws.json
.
Кроме того, с помощью платформы Multicontainer Docker невозможно создать или переопределить определения задач ECS с помощью файла конфигурации .ebextensions.