Джельтмены, Христом богом прошу, натолкните на мысль, как написать iam

роль для доступа к s3 бакету из контейнера, крутящегося на ec2.
Для обычной апликухи вроде можно через instance profile. Как с контейнером лучше поступить?

12 ответов

12 просмотров

Так а чем instance profile не подходит?

Можно тоже через инстанс профайл (только там проблема в обратном будет, что все контейнеры на машине будут доступ иметь) можно через апи кей отдельного юзера можно инстанс профайлу разрешитить assume специфик роли с нужными правами (это чтобы не все контейнеры имели доступ, а только те, что знают какую именно роль применить, но это такая себе защита)

Если голый ец2 - то инстанс профайл, если в ЕКС - то там есть ирса

mk- Автор вопроса
Sebor▂▅▇█▓▒░
Если голый ец2 - то инстанс профайл, если в ЕКС - ...

В кубере с автоскейлингом но не в ЕКС. Инстанс профайл для динамических НОД, мне кажется не пойдёт. Или есть решение?

mk
Ай пи кей? Это как?

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

mk- Автор вопроса
Vladislav Alexandrov
https://docs.aws.amazon.com/IAM/latest/UserGuide/i...

Потенциально можно в качестве энв. переменных выдать апликухе. Но потом это надо менеджить, следить, заэкпаирелись ли, менять

mk
Потенциально можно в качестве энв. переменных выда...

По этому лучше юзать инстанс профайл, не знаю какая схема автоскейла ec2 у вас, но скорее всего можно указать дефолтный инстанс профайл для машинки

mk- Автор вопроса
Vladislav Alexandrov
По этому лучше юзать инстанс профайл, не знаю кака...

Мне кажется я как раз натолкнусь на то, что со всех ec2 все контейнеры смогут гадить в этот бакет

mk- Автор вопроса
Sebor▂▅▇█▓▒░
Ну здесь тогда без особых вариантов

Прибить гвоздями секреты от доступа к бакету к контейнеру?

Похожие вопросы

Обсуждают сегодня

Это переведённый текст с английского. Я не говорю на русском, но могу использовать переводчик Телеграм. Приветствую! Я начинающий веб-разработчик и все еще учусь. В настояще...
𐩱𐩪𐩣𐩱𐩲𐩺𐩡
3
Ребята, всем привет. Подскажите, пожалуйста, можно ли как-то через бота понять, что этого бота добавили в группу\канал и выдали ему права администратора?
Artem Stormageddon
9
А не хотим ли мы развлечься? 😉 Но так чтобы с пользой для наших профессиональных навыков?? 👨‍🎓👩‍🎓 Предлагаю на октябрь запланировать тестовый запуск новой командной игры "Игр...
Andrii Kurdiumov
2
Привет всем! Почему этот код не срабатывает при добавлении или удалении пользователя из чата? bot.on('chat_member', async (ctx) => { console.log(ctx); }) bot.launch({allo...
Alexander
5
у кого сколько оперативы на базе данных ?
АДИЛЬБЕК
4
Через бот апи возможно получить ID стикерпака? Не ссылку.
Vexylon [АФК до 09.09]
5
Привет Хочу сделать аналог iCloud’а для своих проектов, чтобы пользовательская информация хранилась в облаке, была доступна во всех сервисах, её можно было подсасывать везде)...
Виталий
9
В тг можно спарсить всех кто пишет в группе? Если список участников скрыт
S
3
код Event::listen('cms.page.display', function (&$content, $slug, $page, $html) { if (is_object($content)) { dump($content); } else { dump($s...
Point 111
3
Как можно это ускорить? Суть, есть база грязная, в ней туча дублей, дубли разные могут содержать дополнительные полезные поля. Нужно найти эти дубли, выбрать из них самый пол...
Денис Александрович
2
Карта сайта