Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Docker/ECSでIAMロールを利用する
Search
takipone
January 17, 2015
Technology
1
5.2k
Docker/ECSで IAMロールを利用する
Docker Meetup Tokyo #4 LT
takipone
January 17, 2015
Tweet
Share
More Decks by takipone
See All by takipone
ロールプレイトレーニングでクラウドエンジニアを短期育成した知見を一挙公開 / roll playing training benefits and cases
takipone
0
500
スキル育成に生かすLlamaIndexの活用 /using-llamaIndex-to-enhance-ones-skills
takipone
1
3.2k
DNSにちょっとだけ詳しくなりたい人に贈る少し突っ込んだDNSの話 / devioday1_dns
takipone
2
10k
Amazon VPC Latticeに期待する / look-for-vpc-lattice
takipone
0
1.1k
DevelopersIOのアウトプット文化をハックして人材育成に繋げる話 /deviosapporo2022fall_takipone
takipone
0
900
AWSネットワークリソースをサービスでマルチテナントに 提供するときのスケーラビリティ / nwjaws202112-takipone
takipone
1
700
ネットワークがクラウドに載って変わることと変わらないこと /nwjaws201909-takipone
takipone
0
2k
AWSネイティブなEC/CRMシステム運用に欠かせないログ基盤構築 / cmdevio2018-aws-log-infra
takipone
7
3k
日本🇯🇵でAWS Direct Connect を利用する話/akiba-aws-dx
takipone
1
2.4k
Other Decks in Technology
See All in Technology
インフラをつくるとはどういうことなのか、 あるいはPlatform Engineeringについて
nwiizo
5
2.6k
Amazon S3 Tablesと外部分析基盤連携について / Amazon S3 Tables and External Data Analytics Platform
nttcom
0
130
(機械学習システムでも) SLO から始める信頼性構築 - ゆる SRE#9 2025/02/21
daigo0927
0
120
関東Kaggler会LT: 人狼コンペとLLM量子化について
nejumi
3
590
表現を育てる
kiyou77
1
210
「海外登壇」という 選択肢を与えるために 〜Gophers EX
logica0419
0
710
ハッキングの世界に迫る~攻撃者の思考で考えるセキュリティ~
nomizone
13
5.2k
プロダクトエンジニア構想を立ち上げ、プロダクト志向な組織への成長を続けている話 / grow into a product-oriented organization
hiro_torii
1
200
バックエンドエンジニアのためのフロントエンド入門 #devsumiC
panda_program
18
7.5k
エンジニアのためのドキュメント力基礎講座〜構造化思考から始めよう〜(2025/02/15jbug広島#15発表資料)
yasuoyasuo
17
6.8k
ビジネスモデリング道場 目的と背景
masuda220
PRO
9
520
組織貢献をするフリーランスエンジニアという生き方
n_takehata
1
1.3k
Featured
See All Featured
Faster Mobile Websites
deanohume
306
31k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.5k
Become a Pro
speakerdeck
PRO
26
5.1k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
4
410
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
550
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
BBQ
matthewcrist
87
9.5k
What's in a price? How to price your products and services
michaelherold
244
12k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.4k
Gamification - CAS2011
davidbonilla
80
5.1k
Side Projects
sachag
452
42k
Transcript
Docker/ECSで IAMロールを利利⽤用する Docker Meetup #4 LT classmethod.jp 1 2015/1/17 クラスメソッド株式会社
⼤大瀧隆太
classmethod.jp 2 ⾃自⼰己紹介 • ⽒氏名 : ⼤大瀧隆太
@takipone • 会社 : クラスメソッド • ポジション : AWSコンサル部 エンジニア / 研修講師 classmethod.jp 2
前段のお話をブログに書きました classmethod.jp 3 http://dev.classmethod.jp/cloud/creds-‐‑‒design-‐‑‒pattern-‐‑‒in-‐‑‒docker/
Dockerコンテナのクレデンシャル管理理 1. DockerfileのADDなどで設定ファイルを Dockerイメージに埋め込む – クレデンシャル更更新によるイメージの作り直し – Docker HubへのPushは漏漏洩につながってしまう 2. 環境変数をdocker run
-‐‑‒-‐‑‒envで渡す – GKE/ECSだと環境変数を定義ファイルに記述す るので、そのファイルの管理理が必要 3. クラウドサービスを利利⽤用することで、 クレデンシャルが外出しできる – AWS : IAMロール – GCE : Service Account classmethod.jp 4
classmethod.jp 5 AWS IAMロールの仕組み EC2 AWS IAM メタデータ サーバー 169.254.169.254
S3 ⼀一時キー ⼀一時キー GET /latest/meta-‐‑‒data/iam/ security-‐‑‒credentials/role-‐‑‒name ⼀一時キーでS3にアクセス
classmethod.jp 6 DockerコンテナからのIAMロール EC2 AWS IAM メタデータ サーバー 169.254.169.254 S3
⼀一時キー インスタンスと同じ⼀一時キー が取得できる/できちゃう
DockerコンテナからのIAMロール • コンテナとインスタンスで区別できない – インスタンスと同等の権限が全コンテナから参照 できてしまう • コンテナ単位の権限分けができない – fluentコンテナはs3:PutObject権限を、 phpコンテナはcloudwatch:PutMetricData権限 を付与したい!
• 現在のECSでは、インスタンスの権限(ecs:*) と全コンテナの権限の合算を設定することで 対応 classmethod.jp 7
classmethod.jp 8 メタデータサーバーの⾃自前実装 http://qiita.com/j3tm0t0/items/b63d456cafd20b1624fd
classmethod.jp 9 こうする。 AWS IAM メタデータ サーバー 169.254.169.254 S3 ⼀一時キー
sts:AssumeRole メタデータサーバーへ のトラフィックを⾃自前 サーバーにフック ⾃自前メタデータ サーバー
classmethod.jp 10 こうする。(⾃自前サーバーの実⾏行行) $ ruby ec2-role.rb arn:aws:iam::XXXXXXXXXXXX:role/exc_web [2015-01-16 15:04:44] INFO
WEBrick 1.3.1 [2015-01-16 15:04:44] INFO ruby 2.1.5 (2014-11-13) [x86_64-linux-gnu] == Sinatra/1.4.5 has taken the stage on 4567 for development with backup from WEBrick [2015-01-16 15:04:44] INFO WEBrick::HTTPServer#start: pid=2425 port=4567 { "Code" : "Success", "AccessKeyId" : "ASIAJUGBBWGPOE5LB2DA", "SecretAccessKey" : "F1UCLL1xus3i/HX5UjmJRoPzothnnAza9WRCRbSn", "Token" : "AQoDYXdzEPD////////// wEakAJ5SVuBEVHPmjjCMmaAJ7zX6MJsRy09k62S92wCO5rGImeVeKx +IB4AVZJ4eE8E0kRGpI7RDpW1l3UEqfeWon6AKwuNJQxgrcKOuB91zKSi3BeH8nT/ d2JUoY2deUVyBMLg3LoebPIlAzl1l83mbQ1Dds1vsj6pSn+nhU0w +hFJxypQcEGDSUrGyJMw15xDD/DQ+9G001ocbp0yBD4otjInNxWgB/ kME1KBPVANSLcJKSTubvNqjwyVgQpPGdu5p/eutns/sSvvRfYgKU9eSEdZzJ5y3djSEoo +J4Rmwrtol4p0fS1VhzsQOxPpH5nCaJwJiW3LnUfPbaDGoCwk2kq6z8sH8sx1t0Du +VT9Xp0qYSCM0eSlBQ==", "Expiration" : "2015-01-16T16:04:44Z" }
classmethod.jp 11 こうする。(トラフィックのフック) $ sudo iptables -t nat \ -A
PREROUTING -j DNAT \ -i docker0 \ -p tcp \ ! --src 172.17.0.2 \ --dst 169.254.169.254 --dport 80 \ --to 172.17.42.1:4567
classmethod.jp 12 できた。 $ docker exec 2de1f31fcb3d curl -s 169.254.169.254/latest/meta-data/iam/
security-credentials/temp { "Code" : "Success", "AccessKeyId" : "ASIAJUGBBWGPOE5LB2DA", "SecretAccessKey" : "F1UCLL1xus3i/HX5UjmJRoPzothnnAza9WRCRbSn", "Token" : "AQoDYXdzEPD////////// : $ ruby ec2-role.rb arn:aws:iam::XXXXXXXXXXXX:role/exc_web : 172.17.0.3 - - [17/Jan/2015:04:58:54 +0000] "GET /latest/meta-data/iam/ security-credentials/temp HTTP/1.1" 200 590 0.0003 ip-172-17-0-3.ec2.internal - - [17/Jan/2015:04:58:54 UTC] "GET /latest/ meta-data/iam/security-credentials/temp HTTP/1.1" 200 590 - -> /latest/meta-data/iam/security-credentials/temp • コンテナからメタデータサーバーにリクエスト • ⾃自前メタデータサーバーにアクセスログが表⽰示
classmethod.jp 13 今後の課題 • ⾃自家メタデータサーバー⾃自体をコンテナに • コンテナごとにロールを切切り替えたい • Dockerコンテナのクレデンシャル管理理は、 もっとディスカッションされてもいい話題