Risorsa: limita l'invio del lavoro a POSIX utente, immagine Docker, livello di privilegio e ruolo - AWS Batch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risorsa: limita l'invio del lavoro a POSIX utente, immagine Docker, livello di privilegio e ruolo

La seguente politica consente a un POSIX utente di gestire il proprio set di definizioni di lavoro limitate.

Utilizzate la prima e la seconda istruzione per registrare e annullare la registrazione di qualsiasi nome di definizione di processo il cui nome è preceduto da JobDefA_.

La prima istruzione utilizza anche chiavi contestuali condizionali per limitare i valori POSIX dell'utente, dello stato privilegiato e dell'immagine del contenitore all'interno della definizione di un processo. containerProperties Per ulteriori informazioni, vedere RegisterJobDefinitionnel Reference.AWS Batch API In questo esempio, le definizioni dei processi possono essere registrate solo quando l'POSIXutente è impostato sunobody. Il flag privilegiato è impostato su. false Infine, l'immagine viene impostata su myImage un ECR repository Amazon.

Importante

Docker risolve il user parametro per quell'utente uid dall'interno dell'immagine del contenitore. Nella maggior parte dei casi, questo si trova nel /etc/passwd file all'interno dell'immagine del contenitore. Questa risoluzione dei nomi può essere evitata utilizzando uid valori diretti sia nella definizione del processo che nelle IAM politiche associate. Sia le AWS Batch API operazioni che i tasti batch:User IAM condizionali supportano valori numerici.

Utilizzate la terza istruzione per limitare la definizione di una mansione a un solo ruolo specifico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "batch:RegisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*"
            ],
            "Condition": {
                "StringEquals": {
                    "batch:User": [
                        "nobody"
                    ],
                    "batch:Image": [
                        "<aws_account_id>.dkr.ecr.<aws_region>.amazonaws.com/myImage"
                    ]
                },
                "Bool": {
                    "batch:Privileged": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "batch:DeregisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<aws_account_id>:role/MyBatchJobRole"
            ]
        }
    ]
}