我维护一个在 Elastic Beanstalk 上运行的项目多容器 Docker 平台。为了安全地访问 SSM 参数存储,我想授予特定容器访问特定 IAM 角色的权限。为了最大限度地减少不必要的权限,某些容器根本不应该有权访问这些角色。
在此配置中,Elastic Beanstalk 使用 EC2 容器服务进行部署。ECS 提供了指定任务的 IAM 角色在任务定义中(通过taskRoleArn参数)。
我想在 EB 中使用此 ECS 功能。有没有办法自定义(或替换)EB 生成的任务定义?我认为可以使用.ebextensions 配置文件定制环境资源,但迄今为止还没有成功。
答案1
根据 AWS 支持,目前这是不可能的。但他们提出了一个功能请求。因此将来可能可以taskRoleArn在文件中设置该参数。Dockerrun.aws.json
此外,使用多容器 Docker 平台,无法使用 .ebextensions 配置文件创建或覆盖 ECS 任务定义。