投稿日: Jul 13, 2016
Amazon EC2 Container Service (ECS) で、ECS タスク内のコンテナが使用可能な IAM ロールを特定できるようになりました。
アプリケーションが AWS SDK または CLI を利用して AWS API にリクエストを作成する場合、有効な AWS アクセスキーで各リクエストに署名しなければなりません。これは、お客様のアプリケーションが DynamoDB テーブルにアクセスする場合などにおいて、AWS がリクエストの送信者を確認するためです。アプリケーションが使用するには管理および分散における認証情報の方法を規定する必要があります。
従来、ECS クラスターで EC2 インスタンスに対して IAM ロールを特定することができましたが、クラスター内のあらゆるタスクが必要とする権限すべてを 1 つの IAM ロールに追加する必要があり、タスクが不要な権限を使用する可能性がありました。
今後は各 ECS タスクに 1 つの IAM ロールを指定することができます。承認済みの AWS サービスにAPI リクエストを作成する場合、タスクのコンテナにあるアプリケーションは AWS SDK または CLI を使用することができます。これにより EC2 インスタンスの役割を最小限に抑え、「最小限の権限」アクセスのポリシーを無視することなく、インスタンスのロールやタスクのロールを分けて管理できるようになりました。どのタスクがどのロールを使用しているのかなど、CloudTrail ログで記録されている情報を見ることができるので、可視性も高まります。
タスクに対する IAM ロールの詳細は AWS コンピューティングブログや Amazon ECS ドキュメントをご覧ください。Amazon EC2 Container Service の詳細については製品ページをご覧ください。