роль для доступа к s3 бакету из контейнера, крутящегося на ec2.
Для обычной апликухи вроде можно через instance profile. Как с контейнером лучше поступить?
Так а чем instance profile не подходит?
Можно тоже через инстанс профайл (только там проблема в обратном будет, что все контейнеры на машине будут доступ иметь) можно через апи кей отдельного юзера можно инстанс профайлу разрешитить assume специфик роли с нужными правами (это чтобы не все контейнеры имели доступ, а только те, что знают какую именно роль применить, но это такая себе защита)
Если голый ец2 - то инстанс профайл, если в ЕКС - то там есть ирса
Ай пи кей? Это как?
В кубере с автоскейлингом но не в ЕКС. Инстанс профайл для динамических НОД, мне кажется не пойдёт. Или есть решение?
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html
Потенциально можно в качестве энв. переменных выдать апликухе. Но потом это надо менеджить, следить, заэкпаирелись ли, менять
По этому лучше юзать инстанс профайл, не знаю какая схема автоскейла ec2 у вас, но скорее всего можно указать дефолтный инстанс профайл для машинки
Ну здесь тогда без особых вариантов
Мне кажется я как раз натолкнусь на то, что со всех ec2 все контейнеры смогут гадить в этот бакет
Прибить гвоздями секреты от доступа к бакету к контейнеру?
Обсуждают сегодня