Ressource: Beschränken Sie sich bei der Einreichung von Jobs auf POSIX Benutzer, Docker-Image, Rechtestufe und Rolle - AWS Batch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ressource: Beschränken Sie sich bei der Einreichung von Jobs auf POSIX Benutzer, Docker-Image, Rechtestufe und Rolle

Die folgende Richtlinie ermöglicht es einem POSIX Benutzer, seine eigenen beschränkten Jobdefinitionen zu verwalten.

Verwenden Sie die erste und die zweite Anweisung, um alle Jobdefinitionsnamen zu registrieren oder zu deregistrieren, deren Namen ein Präfix vorangestellt ist JobDefA_.

Die erste Anweisung verwendet außerdem bedingte Kontextschlüssel, um die Werte für den POSIX Benutzer, den privilegierten Status und das Container-Image innerhalb containerProperties einer Auftragsdefinition einzuschränken. Weitere Informationen finden Sie RegisterJobDefinitionin der AWS Batch APIReferenz. In diesem Beispiel können Jobdefinitionen nur registriert werden, wenn der POSIX Benutzer auf eingestellt istnobody. Das Privileged-Flag ist auf gesetztfalse. Zuletzt ist das Bild auf myImage in einem ECR Amazon-Repository eingestellt.

Wichtig

Docker löst den user Parameter für diesen Benutzer uid aus dem Container-Image heraus auf. In den meisten Fällen befindet sich dies in der /etc/passwd Datei im Container-Image. Diese Namensauflösung kann vermieden werden, indem direkte uid Werte sowohl in der Auftragsdefinition als auch in allen zugehörigen IAM Richtlinien verwendet werden. Sowohl die AWS Batch API Operationen als auch die batch:User IAM bedingten Tasten unterstützen numerische Werte.

Verwenden Sie die dritte Anweisung, um eine Jobdefinition nur auf eine bestimmte Rolle zu beschränken.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "batch:RegisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*"
            ],
            "Condition": {
                "StringEquals": {
                    "batch:User": [
                        "nobody"
                    ],
                    "batch:Image": [
                        "<aws_account_id>.dkr.ecr.<aws_region>.amazonaws.com/myImage"
                    ]
                },
                "Bool": {
                    "batch:Privileged": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "batch:DeregisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<aws_account_id>:role/MyBatchJobRole"
            ]
        }
    ]
}