【问题标题】:Restricting aws resource to a specific ecs cluster将 aws 资源限制为特定的 ecs 集群
【发布时间】:2021-12-07 23:22:41
【问题描述】:
我有 2 个 ecs 集群都运行相同的服务,但只有它们应该访问一些 aws 资源(lambda/ sqs)。如何实现?此外,我需要一些机制来仅从 lambda 触发该集群中服务(java)中的一段代码/函数。考虑到两个集群的代码是一样的,那怎么实现呢?
【问题讨论】:
标签:
java
aws-lambda
amazon-ecs
amazon-sqs
distributed-computing
【解决方案1】:
对于第一个问题,实现它的规范方法是使用 Task Role 并将其与支持需要访问 AWS 资源的服务的任务相关联。您实际上创建了一个特定的 IAM 角色,该角色有权访问您需要访问的资源并在任务定义中指定它。由该任务定义启动的容器将可以在本地访问 AWS 临时凭证,从而允许您的代码访问这些资源。因为代码(容器映像?)是相同的,所以您希望拥有两个完全相同的单独任务定义,但一个具有任务角色,另一个没有任务角色。您的两项服务将继续相同,但一项将具有临时信用,而另一项则没有。更多信息here in the docs。
问题的第二部分有点含糊(约翰指出,答案可能非常固执己见)。