Amazon ECS объявляет о поддержке контейнеров без прав root для управляемых томов EBS
Amazon Elastic Container Service (ECS) теперь поддерживает подключение томов Эластичного блочного хранилища Amazon (EBS) к контейнерам, запущенных от имени непривилегированных пользователей. Теперь ECS автоматически настраивает разрешения файловой системы для тома EBS, чтобы позволить непривилегированным пользователям безопасно читать и записывать данные, сохраняя при этом право собственности на том на корневом уровне. Это усовершенствование устраняет необходимость управлять разрешениями вручную или настраивать сценарии точек входа и таким образом упрощает развертывание контейнеров, ориентированных на безопасность.
Эта функция повышает безопасность контейнеров, позволяя выполнять задачи от имени непривилегированных пользователей, что снижает риск эскалации привилегий и несанкционированного доступа к данным. Ранее для записи данных из контейнера в задаче на смонтированный том Amazon EBS ее приходилось запускать от имени привилегированного пользователя. Теперь ECS автоматически управляет разрешениями томов EBS, упрощая рабочие процессы и обеспечивая безопасное чтение и запись всеми контейнеров в задаче (независимо от идентификатора пользователя) на смонтированный том.
Эта функция сейчас доступна во всех регионах AWS, где поддерживаются Amazon ECS и Amazon EBS, кроме регионов AWS GovCloud (США), для типов запуска на основе EC2, AWS Fargate и управляемых инстансов ECS. Дополнительные сведения см. в разделе Использование томов Amazon EBS с Amazon ECS в руководстве для разработчиков Amazon ECS.