发布于: Mar 15, 2021
Amazon Elastic Container Service(Amazon ECS)现已推出 Amazon ECS Exec,这是一种简单、安全和可审计的方式,让客户可以在 Amazon Elastic Compute Cloud(Amazon EC2)实例或 AWS Fargate 上运行的容器中运行命令。ECS Exec 为您提供了对运行中的容器的交互式 shell 或单个命令访问权限,从而让您更轻松地调试问题、诊断错误、收集一次性转储和统计数据,并与容器中的进程交互。
通过 ECS Exec,您可以直接与运行中的容器交互,而无需与主机实例交互、打开入站端口或管理 SSH 密钥,从而改善集容器实例的安全态势。您可以在 ECS 任务或服务等精细级别上启用此功能,以帮助您保持更严格的安全性。通过使用 AWS Identity and Access Management(IAM)策略,您可以创建细粒度的策略来控制谁可以针对哪些集群、任务或容器运行命令。提供访问权限后,您可以使用 AWS CloudTrail 审计哪个用户访问了容器,并将每个命令记录下来,以输出到 Amazon Simple Storage Service(Amazon S3)或 Amazon CloudWatch Logs。这使得 ECS 用户可以安全地排除开发过程中遇到的 bug 或系统问题,并为其容器化应用提供用于生产环境中 break-glass 程序的调试工具。
Amazon ECS Exec 现已在所有公共 AWS 区域免费提供。此功能在具有 Container Agent Version 1.50.2 和 Fargate Platform Version 1.4.0 或更高版本的 ECS Optimized AMI 上得到支持。有关使用 ECS Exec from API、AWS 命令行界面(CLI)、AWS 软件开发工具包或 AWS Copilot CLI 在运行的 Linux 容器中运行命令的更多信息,请访问我们的文档页面或者阅读我们的博客文章。