Amazon ECS kündigt Unterstützung für Nicht-Root-Container für verwaltete EBS-Volumes an
Amazon Elastic Container Service (ECS) unterstützt jetzt das Einbinden von Amazon Elastic Block Store (EBS)-Volumes in Container, die als Nicht-Root-Benutzer laufen. Bei diesem Start konfiguriert ECS automatisch die Dateisystemberechtigungen des EBS-Volumes, um Nicht-Root-Benutzern das sichere Lesen und Schreiben von Daten zu ermöglichen, während die Root-Eigenschaft des Volumes erhalten bleibt. Diese Verbesserung vereinfacht die Bereitstellung von Sicherheitscontainern, da keine manuelle Rechteverwaltung oder benutzerdefinierte Einstiegsskripte mehr erforderlich sind.
Diese Funktion erhöht die Sicherheit von Containern, indem sie es ermöglicht, Aufgaben als Nicht-Root-Benutzer auszuführen, wodurch das Risiko einer Privilegienerweiterung und eines unbefugten Zugriffs auf Daten verringert wird. Damit ein Container in einer Aufgabe auf ein gemountetes Amazon EBS-Volume schreiben konnte, musste er bisher als Root-Benutzer laufen. ECS verwaltet jetzt automatisch die Berechtigungen für EBS-Volumes, vereinfacht die Arbeitsabläufe und stellt sicher, dass alle Container innerhalb einer Aufgabe – unabhängig von der Benutzer-ID – sicher auf dem gemounteten Volume lesen und schreiben können.
Diese Funktion ist jetzt in allen AWS-Regionen, außer AWS GovCloud (USA), verfügbar, in denen Amazon ECS und Amazon EBS unterstützt werden, und zwar für die Starttypen EC2, AWS Fargate und ECS Managed Instances. Weitere Informationen finden Sie unter Verwendung von Amazon EBS-Volumes mit Amazon ECS im Amazon ECS Developer Guide.