非ルートユーザー動作
コンテナ定義で非ルートユーザーを指定すると、Amazon ECS は、指定されたユーザーがボリュームを読み書きできるようにするグループベースのアクセス許可で Amazon EBS ボリュームを自動的に設定します。ボリュームは、次の特性でマウントされます。
-
ボリュームは、ルートユーザーとルートグループによって所有されます。
-
グループのアクセス許可は、読み取りおよび書き込みアクセスを許可するように設定されています。
-
非ルートユーザーは、ボリュームにアクセスするために適切なグループに追加されます。
非ルートコンテナで Amazon EBS ボリュームを使用する場合は、次のベストプラクティスに従ってください。
-
安全なアクセス許可を保証するために、コンテナイメージ全体で使用するユーザー ID (UID) とグループ ID (GID) を統一してください。
-
コンテナイメージにマウントポイントディレクトリを事前作成することで、適切な所有権とアクセス許可を設定します。
-
開発環境で Amazon EBS ボリュームを使用してコンテナをテストし、ファイルシステムのアクセス許可が期待どおりに機能することを確認します。
-
同じタスク内の複数のコンテナがボリュームを共有する場合は、互換性のある UID/GID を使用するか、一貫したアクセス期待に従ってボリュームをマウントしてください。
