我不确定我对这个问题的基本假设是否正确,但据我了解,存在以下问题:具有创建 ECS 任务定义权限的用户可以通过 docker bind mounts 随时访问实例的所有数据。包括数据库密码、API 密钥和其他关键数据。如果这是正确的,我可以在 git 中管理我的密码,假设所有 git 用户都被授权同时启动任务定义,因为这并不重要。或者换句话说,我可以将所有关键密码放入我的 docker 镜像中。如果我是对的,有没有办法防止这种特权升级?
抱歉,我说得有点不清楚。我想了解员工有权更改/创建 ECS 任务定义意味着什么。此权限通常会授予 git 运行者,以便将源代码中的更改作为 docker 容器推送到实例上。从我的角度来看,这意味着拥有此授权的每个人都可以同时读取实例上的所有数据。与对实例的 SSH 访问一样强大。因为借助 docker 卷(bind-mount),邪恶的容器可以访问实例的所有数据。你能证实吗?因此,假设您授予 git 运行者此授权,那么您实际上可以简单地在 git 中签入您的密码或在 docker 映像中写入,但您不应该这样做。