Amazon ECS annonce la prise en charge des conteneurs non racines pour les volumes EBS gérés
Amazon Elastic Container Service (ECS) prend désormais en charge le montage de volumes Amazon Elastic Block Store (EBS) sur des conteneurs exécutés en tant qu'utilisateurs non racines. Avec ce lancement, ECS configure automatiquement les autorisations du système de fichiers du volume EBS pour permettre aux utilisateurs non racines de lire et d'écrire des données en toute sécurité, tout en préservant la propriété du volume au niveau racine. Cette amélioration simplifie les déploiements de conteneurs axés sur la sécurité en supprimant la nécessité d'une gestion manuelle des autorisations ou de scripts de point d'entrée personnalisés.
Cette caractéristique améliore la sécurité des conteneurs en permettant aux tâches de s'exécuter en tant qu'utilisateurs non racines, réduisant ainsi le risque d'élévation des privilèges et d'accès non autorisé aux données. Auparavant, pour qu'un conteneur d'une tâche puisse écrire sur un volume Amazon EBS monté, il devait s'exécuter en tant qu'utilisateur racine. ECS gère désormais automatiquement les autorisations des volumes EBS, simplifiant ainsi les flux de travail et garantissant que tous les conteneurs d'une tâche, quel que soit leur ID d’utilisateur, peuvent lire et écrire en toute sécurité sur le volume monté.
Cette caractéristique est désormais disponible dans toutes les régions AWS où Amazon ECS et Amazon EBS sont pris en charge, à l'exception des régions AWS GovCloud (US), pour les types de lancement d'instances gérées EC2, AWS Fargate et ECS. Pour en savoir plus, consultez la section Utiliser les volumes Amazon EBS avec Amazon ECS dans le Guide du développeur Amazon ECS.