Ressource: Beschränken Sie sich bei der Auftragseingabe auf POSIX-Benutzer, Docker-Image, Rechtestufe und Rolle - AWS Batch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ressource: Beschränken Sie sich bei der Auftragseingabe auf POSIX-Benutzer, Docker-Image, Rechtestufe und Rolle

Die folgende Richtlinie ermöglicht es einem POSIX-Benutzer, seinen eigenen Satz von eingeschränkten Jobdefinitionen zu verwalten.

Verwenden Sie die erste und die zweite Anweisung, um jeden Jobdefinitionsnamen zu registrieren oder zu deregistrieren, dessen Namen ein Präfix vorangestellt ist. JobDefA_

Die erste Anweisung verwendet auch bedingte Kontextschlüssel zum Beschränken des POSIX-Benutzers, des privilegierten Status und der Container-Image-Werte innerhalb der containerProperties einer Auftragsdefinition. Weitere Informationen finden Sie unter RegisterJobDefinition in der AWS Batch -API-Referenz. In diesem Beispiel können Jobdefinitionen nur registriert werden, wenn der POSIX-Benutzer auf gesetzt ist. nobody Das privilegierte Flag ist auf false gesetzt. Zuletzt wird das Bild myImage in einem Amazon ECR-Repository gespeichert.

Wichtig

Docker löst den user Parameter innerhalb des Container-Images für diesen Benutzer uid auf. In den meisten Fällen befindet sich dies in der /etc/passwd Datei im Container-Image. Diese Namensauflösung kann vermieden werden, indem direkte uid Werte sowohl in der Auftragsdefinition als auch in allen zugehörigen IAM-Richtlinien verwendet werden. Sowohl die AWS Batch API-Operationen als auch die bedingten batch:User IAM-Schlüssel unterstützen numerische Werte.

Verwenden Sie die dritte Anweisung, um eine Jobdefinition nur auf eine bestimmte Rolle zu beschränken.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "batch:RegisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*"
            ],
            "Condition": {
                "StringEquals": {
                    "batch:User": [
                        "nobody"
                    ],
                    "batch:Image": [
                        "<aws_account_id>.dkr.ecr.<aws_region>.amazonaws.com/myImage"
                    ]
                },
                "Bool": {
                    "batch:Privileged": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "batch:DeregisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<aws_account_id>:role/MyBatchJobRole"
            ]
        }
    ]
}