Docker容器似乎“inheritance”了主机ec2的实例configuration文件。 怎么样?
我们有一个在ec2主机上运行的docker容器。 在Docker容器中,我们运行一些aws cli命令。 我们尚未在容器中定义任何AWS凭证。 这意味着容器inheritance主机ec2的实例configuration文件。
我的假设是真的吗? 如果是这样,容器如何inheritance实例configuration文件凭据? 其次(可能有关)aws cli做什么来获取实例configuration文件凭据? 它是否调用元数据端点(169.254.169.254)? 例如,如果凭证是从环境variables中提取的,则凭证是硬编码的,可以看到,但实例configuration文件的凭据实际驻留在哪里?
这是正确的,凭证是主机。 正如您所怀疑的那样,它从元数据端点获取它们。
一个解决scheme/解决方法,以获得更窄的访问是ec2metadataproxy 。 我还没有使用它。
不幸的是,安全组访问也基于主机容器。