Amazon ECS 宣布为托管 EBS 卷提供非根容器支持

发布于: 2025年11月6日

Amazon Elastic Container Service (ECS) 现已支持将 Amazon Elastic Block Store (EBS) 卷挂载到以非根用户身份运行的容器上。此次发布后，ECS 可自动配置 EBS 卷的文件系统权限，以允许非根用户安全地读取和写入数据，同时保留卷的根级所有权。此增强功能无需再进行手动权限管理或自定义入口点脚本，从而简化了安全优先的容器部署。

此功能通过允许任务以非根用户身份运行来增强容器安全性，从而降低权限升级和未经授权访问数据的风险。此前，任务中的容器若要向已挂载的 Amazon EBS 卷写入数据，必须以根用户身份运行。ECS 现在可以自动管理 EBS 卷权限，简化了工作流程，并确保任务中的所有容器（无论用户 ID 如何）都能安全地读取和写入已挂载的卷。

此功能现已在所有支持 Amazon ECS 和 Amazon EBS 的 AWS 区域（AWS GovCloud（美国）除外）推出，适用于 EC2、AWS Fargate 和 ECS 托管实例启动类型。要了解更多信息，请参阅《Amazon ECS 开发人员指南》中的将 Amazon EBS 卷与 Amazon ECS 配合使用。