기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
리소스: 작업 제출 시 POSIX 사용자, Docker 이미지, 권한 수준 및 역할로 제한
다음 정책은 POSIX 사용자가 고유의 작업 제한 정의 세트를 관리할 수 있도록 허용합니다.
첫 번째 및 두 번째 문을 사용하여 JobDefA_ 접두사가 붙은 작업 정의 이름을 등록하고 등록 취소합니다.
또한 첫 번째 설명문은 조건 컨텍스트 키를 사용하여 작업 정의의 containerProperties 내에 있는 POSIX 사용자, 권한 상태, 컨테이너 이미지 값을 제한합니다. 자세한 내용은 AWS Batch API 참조의 RegisterJobDefinition을 참조하십시오. 이 예시에서는 POSIX 사용자가 nobody로 설정된 경우에만 작업 정의를 등록할 수 있습니다. 권한이 있는 플래그는 false로 설정됩니다. 마지막으로, 이 이미지는 Amazon ECR 리포지토리에서 myImage로 설정되어 있습니다.
중요
도커는 user 파라미터를 컨테이너 이미지 내에 있는 해당 사용자 uid로 확인합니다. 대부분의 경우 이러한 사례는 컨테이너 이미지 내의 /etc/passwd 파일에서 찾을 수 있습니다. 이러한 이름 확인은 작업 정의 및 관련 IAM 정책에 직접 uid 값을 사용하면 생기지 않습니다. AWS Batch API 작업 및 batch:User IAM 조건 키는 숫자 값을 지원합니다.
세 번째 설명문을 사용하여 작업 정의에서 특정 역할만 하도록 제한합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:RegisterJobDefinition" ], "Resource": [ "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*" ], "Condition": { "StringEquals": { "batch:User": [ "nobody" ], "batch:Image": [ "<aws_account_id>.dkr.ecr.<aws_region>.amazonaws.com/myImage" ] }, "Bool": { "batch:Privileged": "false" } } }, { "Effect": "Allow", "Action": [ "batch:DeregisterJobDefinition" ], "Resource": [ "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<aws_account_id>:role/MyBatchJobRole" ] } ] }
