我正在通过mesos将我的微服务部署到ec2示例中。问题是我正在与其他团队的微服务共享我的ec2示例。所有这些微服务都处理不同的s3存储桶,我们不希望其他人访问我们的存储桶。我需要将iam角色分配给我的容器,这样只有我才能通过部署在ec2示例中的微服务访问我的s3 bucket。我们不使用ecs,而是使用mesos部署。如有任何意见或评论,我们将不胜感激。提前谢谢。
jvidinwx1#
本机aws对此没有支持。同时,您可以使用lyft的metadataproxy(另请参阅博客文章)。引用博客:我们有一个想法,构建一个web服务,代理对元数据服务的调用http://169.254.169.254 and 将大多数调用传递给真正的元数据服务,但捕获对iam端点的调用。通过捕获iam端点,我们可以决定要返回哪些iam凭据。...要知道应该承担哪些iam角色,metadataproxy可以访问docker套接字。当它收到一个请求时,它会根据其请求ip查找容器,找到该容器的环境变量,并使用iam\u role环境变量的值作为要承担的角色。然后,它使用sts来承担角色,将凭据缓存在内存中(用于进一步的请求),并将它们返回给调用者。如果缓存在内存中的凭据设置为过期,则代理将重新假定凭据。
1条答案
按热度按时间jvidinwx1#
本机aws对此没有支持。同时,您可以使用lyft的metadataproxy(另请参阅博客文章)。
引用博客:
我们有一个想法,构建一个web服务,代理对元数据服务的调用http://169.254.169.254 and 将大多数调用传递给真正的元数据服务,但捕获对iam端点的调用。通过捕获iam端点,我们可以决定要返回哪些iam凭据。
...
要知道应该承担哪些iam角色,metadataproxy可以访问docker套接字。当它收到一个请求时,它会根据其请求ip查找容器,找到该容器的环境变量,并使用iam\u role环境变量的值作为要承担的角色。然后,它使用sts来承担角色,将凭据缓存在内存中(用于进一步的请求),并将它们返回给调用者。如果缓存在内存中的凭据设置为过期,则代理将重新假定凭据。