Sumber Daya: Batasi untuk pengguna POSIX, gambar Docker, tingkat hak istimewa, dan peran dalam pengiriman pekerjaan - AWS Batch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sumber Daya: Batasi untuk pengguna POSIX, gambar Docker, tingkat hak istimewa, dan peran dalam pengiriman pekerjaan

Kebijakan berikut memungkinkan pengguna POSIX untuk mengelola kumpulan definisi pekerjaan terbatas mereka sendiri.

Gunakan pernyataan pertama dan kedua untuk mendaftarkan dan membatalkan pendaftaran nama definisi pekerjaan apa pun yang namanya diawali. JobDefA_

Pernyataan pertama juga menggunakan kunci konteks bersyarat untuk membatasi pengguna POSIX, status istimewa, dan nilai-nilai citra kontainer dalam ketentuan tugas containerProperties. Untuk informasi selengkapnya, lihat RegisterJobDefinition di dalam Referensi API AWS Batch . Dalam contoh ini, definisi pekerjaan hanya dapat didaftarkan ketika pengguna POSIX disetel kenobody. Bendera istimewa diatur kefalse. Terakhir, gambar diatur ke myImage dalam repositori Amazon ECR.

penting

Docker menyelesaikan user parameter ke pengguna itu uid dari dalam gambar kontainer. Dalam kebanyakan kasus, ini ditemukan di file /etc/passwd dalam citra kontainer. Resolusi nama ini dapat dihindari dengan menggunakan nilai uid langsung dalam ketentuan tugas dan kebijakan IAM apa pun yang terkait. Baik operasi API AWS Batch maupun kunci bersyarat IAM batch:User mendukung nilai numerik.

Gunakan pernyataan ketiga untuk membatasi hanya peran tertentu pada definisi pekerjaan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "batch:RegisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*"
            ],
            "Condition": {
                "StringEquals": {
                    "batch:User": [
                        "nobody"
                    ],
                    "batch:Image": [
                        "<aws_account_id>.dkr.ecr.<aws_region>.amazonaws.com/myImage"
                    ]
                },
                "Bool": {
                    "batch:Privileged": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "batch:DeregisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<aws_account_id>:role/MyBatchJobRole"
            ]
        }
    ]
}