In un semplice ambiente EC2, la gestione dell'accesso ad altre risorse AWS è abbastanza semplice con i ruoli e le credenziali IAM (recuperati automaticamente dai metadati dell'istanza). Ancora più semplice con CloudFormation, dove è possibile creare ruoli al volo quando si assegna un ruolo dell'applicazione specifico a un'istanza.
Se volessi migrare su Docker e disporre di una sorta di distribuzione da M a N, dove ho M macchine e N applicazioni in esecuzione su di essa, come dovrei limitare l'accesso alle risorse AWS per applicazione? I metadati dell'istanza sono accessibili a chiunque nell'host, quindi ogni applicazione sarebbe in grado di vedere / modificare i dati di ogni altra applicazione nello stesso ambiente di distribuzione.
Quali sono le migliori pratiche per fornire credenziali di sicurezza ai contenitori di applicazioni in esecuzione in tale ambiente?