Amazon ECS がマネージド EBS ボリュームの非ルートコンテナのサポートを発表
Amazon Elastic Container Service (ECS) は、非ルートユーザーとして実行されているコンテナへの Amazon Elastic Block Store (EBS) ボリュームのマウントをサポートするようになりました。今回のリリースにより、ECS は、ボリュームのルートレベルの所有権を維持しながら、ルート以外のユーザーが安全にデータを読み書きできるように EBS ボリュームのファイルシステム権限を自動的に構成します。この強化により、手動の権限管理やカスタムのエントリポイントスクリプトが不要になり、セキュリティ優先のコンテナのデプロイが簡素化されます。
この機能は、タスクを非ルートユーザーとして実行できるようにすることでコンテナのセキュリティを強化し、権限昇格やデータへの不正アクセスのリスクを軽減します。以前は、マウントされた Amazon EBS ボリュームにタスク内のコンテナが書き込むには、コンテナをルートユーザーとして実行する必要がありました。ECS が EBS ボリュームの権限を自動的に管理するようになったため、ワークフローが簡素化され、タスク内のすべてのコンテナが、ユーザー ID に関係なく、マウントされたボリュームに対して安全に読み書きできるようになりました。
この機能は、Amazon ECS と Amazon EBS がサポートされている AWS GovCloud (米国) を除くすべての AWS リージョンで、EC2、AWS Fargate、および ECS マネージドインスタンスの起動タイプで利用できるようになりました。詳細については、Amazon ECS デベロッパーガイドの Amazon ECS での Amazon EBS ボリュームの使用を参照してください。