Amazon ECS anuncia la compatibilidad con contenedores no raíz para volúmenes gestionados de EBS
Amazon Elastic Container Service (ECS) ahora admite el montaje de volúmenes de Amazon Elastic Block Store (EBS) en contenedores que se ejecutan como usuarios no raíz. Con este lanzamiento, ECS configura automáticamente los permisos del sistema de archivos del volumen de EBS para permitir que los usuarios no raíz lean y escriban datos de forma segura y, al mismo tiempo, preservar la propiedad del volumen a nivel de la raíz. Esta mejora simplifica las implementaciones de contenedores que dan prioridad a la seguridad al eliminar la necesidad de administrar los permisos manualmente o usar scripts de punto de entrada personalizados.
Esta característica mejora la seguridad de los contenedores al permitir que las tareas se ejecuten como usuarios no raíz, lo que reduce el riesgo de escalado de privilegios y acceso no autorizado a los datos. Anteriormente, para que un contenedor de una tarea escribiera en un volumen de Amazon EBS montado, tenía que ejecutarse como usuario raíz. ECS ahora administra automáticamente los permisos de los volúmenes de EBS. Esto simplifica los flujos de trabajo y garantiza que todos los contenedores de una tarea, independientemente del ID de usuario, puedan leer y escribir de forma segura en el volumen montado.
Esta característica ya está disponible en todas las regiones de AWS, excepto en AWS GovCloud (EE. UU.), donde se admiten Amazon ECS y Amazon EBS, para los tipos de lanzamiento de instancias administradas de EC2, AWS Fargate y ECS. Para obtener más información, consulte Uso de volúmenes de Amazon EBS con Amazon ECS en la Guía para desarrolladores de Amazon ECS.