Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Docker/ECSでIAMロールを利用する
Search
takipone
January 17, 2015
Technology
1
5k
Docker/ECSで IAMロールを利用する
Docker Meetup Tokyo #4 LT
takipone
January 17, 2015
Tweet
Share
More Decks by takipone
See All by takipone
スキル育成に生かすLlamaIndexの活用 /using-llamaIndex-to-enhance-ones-skills
takipone
1
2.9k
DNSにちょっとだけ詳しくなりたい人に贈る少し突っ込んだDNSの話 / devioday1_dns
takipone
2
9.7k
Amazon VPC Latticeに期待する / look-for-vpc-lattice
takipone
0
990
DevelopersIOのアウトプット文化をハックして人材育成に繋げる話 /deviosapporo2022fall_takipone
takipone
0
760
AWSネットワークリソースをサービスでマルチテナントに 提供するときのスケーラビリティ / nwjaws202112-takipone
takipone
1
590
ネットワークがクラウドに載って変わることと変わらないこと /nwjaws201909-takipone
takipone
0
1.8k
AWSネイティブなEC/CRMシステム運用に欠かせないログ基盤構築 / cmdevio2018-aws-log-infra
takipone
7
2.8k
日本🇯🇵でAWS Direct Connect を利用する話/akiba-aws-dx
takipone
1
2.2k
CMブートキャンプ(社内勉強会) DNS 第4回 AWSのDNSサービス /cm-dnsstudy-4
takipone
2
19k
Other Decks in Technology
See All in Technology
A (short) History of AI
harishpillay
0
100
[2024年3月版] Databricksのシステムアーキテクチャ
databricksjapan
7
1.9k
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
1
2.9k
シン・Kafka / shin-kafka
oracle4engineer
PRO
6
2.7k
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
0
170
プロデザ! BY リクルート vol.18_リクルートのリサーチ実践組織「リサーチブーストコミュニティ」
recruitengineers
PRO
2
230
転移学習とドメイン適応の基礎
kmatsui
2
570
Oracle Exadata Database Service on Cloud@Customer (ExaDB-C@C) - UI スクリーン・キャプチャ集
oracle4engineer
PRO
1
1.1k
Databricks におけるデータエンジニアリング
databricksjapan
0
370
Databricks:『生成AI World Cup』のご案内
databricksjapan
1
130
Discord とビルダー&チャットボットの使い方 / How to use Discord and Builder & Chatbots
ks91
PRO
0
130
Tableau事例紹介 / Tableau Case Study of Eureka
kazuya_araki_tokyo
1
170
Featured
See All Featured
Making the Leap to Tech Lead
cromwellryan
123
8.5k
GitHub's CSS Performance
jonrohan
1023
450k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
115
18k
Six Lessons from altMBA
skipperchong
19
3k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
1
3.4k
Teambox: Starting and Learning
jrom
128
8.4k
Building Adaptive Systems
keathley
29
1.8k
Building an army of robots
kneath
300
41k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
The Brand Is Dead. Long Live the Brand.
mthomps
48
28k
Debugging Ruby Performance
tmm1
69
11k
Transcript
Docker/ECSで IAMロールを利利⽤用する Docker Meetup #4 LT classmethod.jp 1 2015/1/17 クラスメソッド株式会社
⼤大瀧隆太
classmethod.jp 2 ⾃自⼰己紹介 • ⽒氏名 : ⼤大瀧隆太
@takipone • 会社 : クラスメソッド • ポジション : AWSコンサル部 エンジニア / 研修講師 classmethod.jp 2
前段のお話をブログに書きました classmethod.jp 3 http://dev.classmethod.jp/cloud/creds-‐‑‒design-‐‑‒pattern-‐‑‒in-‐‑‒docker/
Dockerコンテナのクレデンシャル管理理 1. DockerfileのADDなどで設定ファイルを Dockerイメージに埋め込む – クレデンシャル更更新によるイメージの作り直し – Docker HubへのPushは漏漏洩につながってしまう 2. 環境変数をdocker run
-‐‑‒-‐‑‒envで渡す – GKE/ECSだと環境変数を定義ファイルに記述す るので、そのファイルの管理理が必要 3. クラウドサービスを利利⽤用することで、 クレデンシャルが外出しできる – AWS : IAMロール – GCE : Service Account classmethod.jp 4
classmethod.jp 5 AWS IAMロールの仕組み EC2 AWS IAM メタデータ サーバー 169.254.169.254
S3 ⼀一時キー ⼀一時キー GET /latest/meta-‐‑‒data/iam/ security-‐‑‒credentials/role-‐‑‒name ⼀一時キーでS3にアクセス
classmethod.jp 6 DockerコンテナからのIAMロール EC2 AWS IAM メタデータ サーバー 169.254.169.254 S3
⼀一時キー インスタンスと同じ⼀一時キー が取得できる/できちゃう
DockerコンテナからのIAMロール • コンテナとインスタンスで区別できない – インスタンスと同等の権限が全コンテナから参照 できてしまう • コンテナ単位の権限分けができない – fluentコンテナはs3:PutObject権限を、 phpコンテナはcloudwatch:PutMetricData権限 を付与したい!
• 現在のECSでは、インスタンスの権限(ecs:*) と全コンテナの権限の合算を設定することで 対応 classmethod.jp 7
classmethod.jp 8 メタデータサーバーの⾃自前実装 http://qiita.com/j3tm0t0/items/b63d456cafd20b1624fd
classmethod.jp 9 こうする。 AWS IAM メタデータ サーバー 169.254.169.254 S3 ⼀一時キー
sts:AssumeRole メタデータサーバーへ のトラフィックを⾃自前 サーバーにフック ⾃自前メタデータ サーバー
classmethod.jp 10 こうする。(⾃自前サーバーの実⾏行行) $ ruby ec2-role.rb arn:aws:iam::XXXXXXXXXXXX:role/exc_web [2015-01-16 15:04:44] INFO
WEBrick 1.3.1 [2015-01-16 15:04:44] INFO ruby 2.1.5 (2014-11-13) [x86_64-linux-gnu] == Sinatra/1.4.5 has taken the stage on 4567 for development with backup from WEBrick [2015-01-16 15:04:44] INFO WEBrick::HTTPServer#start: pid=2425 port=4567 { "Code" : "Success", "AccessKeyId" : "ASIAJUGBBWGPOE5LB2DA", "SecretAccessKey" : "F1UCLL1xus3i/HX5UjmJRoPzothnnAza9WRCRbSn", "Token" : "AQoDYXdzEPD////////// wEakAJ5SVuBEVHPmjjCMmaAJ7zX6MJsRy09k62S92wCO5rGImeVeKx +IB4AVZJ4eE8E0kRGpI7RDpW1l3UEqfeWon6AKwuNJQxgrcKOuB91zKSi3BeH8nT/ d2JUoY2deUVyBMLg3LoebPIlAzl1l83mbQ1Dds1vsj6pSn+nhU0w +hFJxypQcEGDSUrGyJMw15xDD/DQ+9G001ocbp0yBD4otjInNxWgB/ kME1KBPVANSLcJKSTubvNqjwyVgQpPGdu5p/eutns/sSvvRfYgKU9eSEdZzJ5y3djSEoo +J4Rmwrtol4p0fS1VhzsQOxPpH5nCaJwJiW3LnUfPbaDGoCwk2kq6z8sH8sx1t0Du +VT9Xp0qYSCM0eSlBQ==", "Expiration" : "2015-01-16T16:04:44Z" }
classmethod.jp 11 こうする。(トラフィックのフック) $ sudo iptables -t nat \ -A
PREROUTING -j DNAT \ -i docker0 \ -p tcp \ ! --src 172.17.0.2 \ --dst 169.254.169.254 --dport 80 \ --to 172.17.42.1:4567
classmethod.jp 12 できた。 $ docker exec 2de1f31fcb3d curl -s 169.254.169.254/latest/meta-data/iam/
security-credentials/temp { "Code" : "Success", "AccessKeyId" : "ASIAJUGBBWGPOE5LB2DA", "SecretAccessKey" : "F1UCLL1xus3i/HX5UjmJRoPzothnnAza9WRCRbSn", "Token" : "AQoDYXdzEPD////////// : $ ruby ec2-role.rb arn:aws:iam::XXXXXXXXXXXX:role/exc_web : 172.17.0.3 - - [17/Jan/2015:04:58:54 +0000] "GET /latest/meta-data/iam/ security-credentials/temp HTTP/1.1" 200 590 0.0003 ip-172-17-0-3.ec2.internal - - [17/Jan/2015:04:58:54 UTC] "GET /latest/ meta-data/iam/security-credentials/temp HTTP/1.1" 200 590 - -> /latest/meta-data/iam/security-credentials/temp • コンテナからメタデータサーバーにリクエスト • ⾃自前メタデータサーバーにアクセスログが表⽰示
classmethod.jp 13 今後の課題 • ⾃自家メタデータサーバー⾃自体をコンテナに • コンテナごとにロールを切切り替えたい • Dockerコンテナのクレデンシャル管理理は、 もっとディスカッションされてもいい話題