Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Docker/ECSでIAMロールを利用する
Search
takipone
January 17, 2015
Technology
1
5.2k
Docker/ECSで IAMロールを利用する
Docker Meetup Tokyo #4 LT
takipone
January 17, 2015
Tweet
Share
More Decks by takipone
See All by takipone
ロールプレイトレーニングでクラウドエンジニアを短期育成した知見を一挙公開 / roll playing training benefits and cases
takipone
0
460
スキル育成に生かすLlamaIndexの活用 /using-llamaIndex-to-enhance-ones-skills
takipone
1
3.2k
DNSにちょっとだけ詳しくなりたい人に贈る少し突っ込んだDNSの話 / devioday1_dns
takipone
2
10k
Amazon VPC Latticeに期待する / look-for-vpc-lattice
takipone
0
1.1k
DevelopersIOのアウトプット文化をハックして人材育成に繋げる話 /deviosapporo2022fall_takipone
takipone
0
880
AWSネットワークリソースをサービスでマルチテナントに 提供するときのスケーラビリティ / nwjaws202112-takipone
takipone
1
680
ネットワークがクラウドに載って変わることと変わらないこと /nwjaws201909-takipone
takipone
0
2k
AWSネイティブなEC/CRMシステム運用に欠かせないログ基盤構築 / cmdevio2018-aws-log-infra
takipone
7
3k
日本🇯🇵でAWS Direct Connect を利用する話/akiba-aws-dx
takipone
1
2.3k
Other Decks in Technology
See All in Technology
新機能VPCリソースエンドポイント機能検証から得られた考察
duelist2020jp
0
230
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応 / Getting started with Snyk Vulnerability Response
yamaguchitk333
2
190
alecthomas/kong はいいぞ / kamakura.go#7
fujiwara3
1
300
Oracle Cloudの生成AIサービスって実際どこまで使えるの? エンジニア目線で試してみた
minorun365
PRO
4
290
プロダクト開発を加速させるためのQA文化の築き方 / How to build QA culture to accelerate product development
mii3king
1
270
フロントエンド設計にモブ設計を導入してみた / 20241212_cloudsign_TechFrontMeetup
bengo4com
0
1.9k
なぜCodeceptJSを選んだか
goataka
0
160
事業貢献を考えるための技術改善の目標設計と改善実績 / Targeted design of technical improvements to consider business contribution and improvement performance
oomatomo
0
100
[Ruby] Develop a Morse Code Learning Gem & Beep from Strings
oguressive
1
170
PHP ユーザのための OpenTelemetry 入門 / phpcon2024-opentelemetry
shin1x1
1
360
宇宙ベンチャーにおける最近の情シス取り組みについて
axelmizu
0
110
TSKaigi 2024 の登壇から広がったコミュニティ活動について
tsukuha
0
160
Featured
See All Featured
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.9k
Building Better People: How to give real-time feedback that sticks.
wjessup
365
19k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
26
1.9k
Optimising Largest Contentful Paint
csswizardry
33
3k
Side Projects
sachag
452
42k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Statistics for Hackers
jakevdp
796
220k
Git: the NoSQL Database
bkeepers
PRO
427
64k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.5k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Documentation Writing (for coders)
carmenintech
66
4.5k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
32
2.7k
Transcript
Docker/ECSで IAMロールを利利⽤用する Docker Meetup #4 LT classmethod.jp 1 2015/1/17 クラスメソッド株式会社
⼤大瀧隆太
classmethod.jp 2 ⾃自⼰己紹介 • ⽒氏名 : ⼤大瀧隆太
@takipone • 会社 : クラスメソッド • ポジション : AWSコンサル部 エンジニア / 研修講師 classmethod.jp 2
前段のお話をブログに書きました classmethod.jp 3 http://dev.classmethod.jp/cloud/creds-‐‑‒design-‐‑‒pattern-‐‑‒in-‐‑‒docker/
Dockerコンテナのクレデンシャル管理理 1. DockerfileのADDなどで設定ファイルを Dockerイメージに埋め込む – クレデンシャル更更新によるイメージの作り直し – Docker HubへのPushは漏漏洩につながってしまう 2. 環境変数をdocker run
-‐‑‒-‐‑‒envで渡す – GKE/ECSだと環境変数を定義ファイルに記述す るので、そのファイルの管理理が必要 3. クラウドサービスを利利⽤用することで、 クレデンシャルが外出しできる – AWS : IAMロール – GCE : Service Account classmethod.jp 4
classmethod.jp 5 AWS IAMロールの仕組み EC2 AWS IAM メタデータ サーバー 169.254.169.254
S3 ⼀一時キー ⼀一時キー GET /latest/meta-‐‑‒data/iam/ security-‐‑‒credentials/role-‐‑‒name ⼀一時キーでS3にアクセス
classmethod.jp 6 DockerコンテナからのIAMロール EC2 AWS IAM メタデータ サーバー 169.254.169.254 S3
⼀一時キー インスタンスと同じ⼀一時キー が取得できる/できちゃう
DockerコンテナからのIAMロール • コンテナとインスタンスで区別できない – インスタンスと同等の権限が全コンテナから参照 できてしまう • コンテナ単位の権限分けができない – fluentコンテナはs3:PutObject権限を、 phpコンテナはcloudwatch:PutMetricData権限 を付与したい!
• 現在のECSでは、インスタンスの権限(ecs:*) と全コンテナの権限の合算を設定することで 対応 classmethod.jp 7
classmethod.jp 8 メタデータサーバーの⾃自前実装 http://qiita.com/j3tm0t0/items/b63d456cafd20b1624fd
classmethod.jp 9 こうする。 AWS IAM メタデータ サーバー 169.254.169.254 S3 ⼀一時キー
sts:AssumeRole メタデータサーバーへ のトラフィックを⾃自前 サーバーにフック ⾃自前メタデータ サーバー
classmethod.jp 10 こうする。(⾃自前サーバーの実⾏行行) $ ruby ec2-role.rb arn:aws:iam::XXXXXXXXXXXX:role/exc_web [2015-01-16 15:04:44] INFO
WEBrick 1.3.1 [2015-01-16 15:04:44] INFO ruby 2.1.5 (2014-11-13) [x86_64-linux-gnu] == Sinatra/1.4.5 has taken the stage on 4567 for development with backup from WEBrick [2015-01-16 15:04:44] INFO WEBrick::HTTPServer#start: pid=2425 port=4567 { "Code" : "Success", "AccessKeyId" : "ASIAJUGBBWGPOE5LB2DA", "SecretAccessKey" : "F1UCLL1xus3i/HX5UjmJRoPzothnnAza9WRCRbSn", "Token" : "AQoDYXdzEPD////////// wEakAJ5SVuBEVHPmjjCMmaAJ7zX6MJsRy09k62S92wCO5rGImeVeKx +IB4AVZJ4eE8E0kRGpI7RDpW1l3UEqfeWon6AKwuNJQxgrcKOuB91zKSi3BeH8nT/ d2JUoY2deUVyBMLg3LoebPIlAzl1l83mbQ1Dds1vsj6pSn+nhU0w +hFJxypQcEGDSUrGyJMw15xDD/DQ+9G001ocbp0yBD4otjInNxWgB/ kME1KBPVANSLcJKSTubvNqjwyVgQpPGdu5p/eutns/sSvvRfYgKU9eSEdZzJ5y3djSEoo +J4Rmwrtol4p0fS1VhzsQOxPpH5nCaJwJiW3LnUfPbaDGoCwk2kq6z8sH8sx1t0Du +VT9Xp0qYSCM0eSlBQ==", "Expiration" : "2015-01-16T16:04:44Z" }
classmethod.jp 11 こうする。(トラフィックのフック) $ sudo iptables -t nat \ -A
PREROUTING -j DNAT \ -i docker0 \ -p tcp \ ! --src 172.17.0.2 \ --dst 169.254.169.254 --dport 80 \ --to 172.17.42.1:4567
classmethod.jp 12 できた。 $ docker exec 2de1f31fcb3d curl -s 169.254.169.254/latest/meta-data/iam/
security-credentials/temp { "Code" : "Success", "AccessKeyId" : "ASIAJUGBBWGPOE5LB2DA", "SecretAccessKey" : "F1UCLL1xus3i/HX5UjmJRoPzothnnAza9WRCRbSn", "Token" : "AQoDYXdzEPD////////// : $ ruby ec2-role.rb arn:aws:iam::XXXXXXXXXXXX:role/exc_web : 172.17.0.3 - - [17/Jan/2015:04:58:54 +0000] "GET /latest/meta-data/iam/ security-credentials/temp HTTP/1.1" 200 590 0.0003 ip-172-17-0-3.ec2.internal - - [17/Jan/2015:04:58:54 UTC] "GET /latest/ meta-data/iam/security-credentials/temp HTTP/1.1" 200 590 - -> /latest/meta-data/iam/security-credentials/temp • コンテナからメタデータサーバーにリクエスト • ⾃自前メタデータサーバーにアクセスログが表⽰示
classmethod.jp 13 今後の課題 • ⾃自家メタデータサーバー⾃自体をコンテナに • コンテナごとにロールを切切り替えたい • Dockerコンテナのクレデンシャル管理理は、 もっとディスカッションされてもいい話題