Gestione delle credenziali di sicurezza IAM per più contenitori docker

In un semplice ambiente EC2, la gestione dell'accesso ad altre risorse AWS è abbastanza semplice con i ruoli e le credenziali IAM (recuperati automaticamente dai metadati dell'istanza). Ancora più semplice con CloudFormation, dove è possibile creare ruoli al volo quando si assegna un ruolo dell'applicazione specifico a un'istanza.

Se volessi migrare su Docker e disporre di una sorta di distribuzione da M a N, dove ho M macchine e N applicazioni in esecuzione su di essa, come dovrei limitare l'accesso alle risorse AWS per applicazione? I metadati dell'istanza sono accessibili a chiunque nell'host, quindi ogni applicazione sarebbe in grado di vedere / modificare i dati di ogni altra applicazione nello stesso ambiente di distribuzione.

Quali sono le migliori pratiche per fornire credenziali di sicurezza ai contenitori di applicazioni in esecuzione in tale ambiente?

C'è questo progetto: https://github.com/dump247/docker-ec2-metadata

Funge da proxy per l'endpoint dei metadati dell'istanza, restituendo un ruolo specifico al contenitore. Non l'ho mai usato prima, ma sembra risolvere il caso d'uso che stai descrivendo.

Applicare il privilegio minimo usando Ruoli e gruppi di sicurezza (anche se non li hai menzionati) in AWS con EC2 sono entrambe le migliori pratiche per fornire un ambiente sicuro per le tue applicazioni di hosting, specialmente quando usi CloudFormation. Tuttavia, quando si sovrappone un ambiente Docker multi-tenant in cima a questo è quando le cose iniziano a cadere a pezzi.

La risposta migliore in questo momento per continuare a ottenere i vantaggi dei ruoli mentre si applica il privilegio minimo è quella di non utilizzare un approccio multi-tenant. Fondamentalmente usa una mappatura individuale tra istanza EC2 e applicazione, ma puoi comunque usare cluster / ASG. Docker è ancora uno strumento estremamente utile e potente che è possibile utilizzare per gestire e distribuire le applicazioni, ma per ora i ruoli si applicano all'istanza EC2 e non al contenitore. Ciò significa per ora utilizzare VM separate per ogni applicazione.

Se essere multi-tenant è più importante dei ruoli, la risposta è non utilizzare i ruoli e distribuire le credenziali AWS alle applicazioni usando altri metodi.

Sfortunatamente nessuna di queste soluzioni è molto desiderabile e mi aspetto che questo specifico punto dolente venga affrontato in futuro da AWS a causa principalmente della crescente popolarità dei container.