Je souhaite m'assurer que je ne stocke pas les clés sensibles et les informations d'identification dans les images source ou dans les images docker. Plus précisément, je voudrais stocker mes informations d'identification de l'application MySQL RDS et les copier lorsque le conteneur/tâche démarre. La documentation fournit un exemple de retrieving the ecs.config file from s3 et j'aimerais faire quelque chose de similaire. J'utilise l'AMI optimisée Amazon ECS avec un groupe de mise à l'échelle automatique qui enregistre avec mon cluster ECS. J'utilise le ghost docker image sans aucune personnalisation. Est-il possible de configurer ce que j'essaie de faire? Récupérer la configuration de l'application à partir de l'emplacement sécurisé pendant le démarrage de la tâche
1
A
Répondre
0
Vous pouvez définir un volume sur l'hôte et le mapper au conteneur avec les privilèges Lecture seule. Veuillez vous reporter à la documentation suivante pour configurer le volume ECS pour une tâche ECS. http://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_data_volumes.html
Même si le conteneur n'a pas la config au moment de la construction, il lira les configurations comme si elles étaient disponibles dans son propre système de fichiers.
Il existe plusieurs façons de sécuriser la configuration sur le système d'exploitation hôte. Dans mes projets passés, j'ai réussi la même chose en désactivant ssh dans l'hôte et en injectant la configuration au démarrage en utilisant cloud-init.
C'est en fait ce que j'ai fini par faire. J'ai juste oublié de mettre une réponse alors je vais vous donner du crédit. –