我们有一个在 ec2 主机上运行的 docker 容器。在该 docker 容器中,我们运行一些 aws cli 命令。我们尚未在容器中定义任何 AWS 凭证。这意味着容器继承主机 ec2 的实例配置文件。
我的假设是真的吗?如果是这样,容器究竟如何继承实例配置文件凭证?其次(可能相关)AWS CLI 究竟执行哪些操作来获取实例配置文件凭证?它是否调用元数据终结点 (169.254.169.254)?例如,如果从环境变量中获取凭证,则凭证是硬编码的,可以看到,但实例配置文件的凭证实际驻留在何处?
没错,凭据是主机的。正如你所怀疑的那样,它从元数据终结点获取它们。
提供更窄访问权限的一种解决方案/解决方法是 ec2metadataproxy。我还没有用过。
不幸的是,安全组访问也基于主机容器。