Práticas recomendadas para perfis do IAM no Amazon ECS

Os perfis exigidos pelo Amazon ECS dependem do tipo de execução da definição da tarefa e dos recursos usados. Recomendamos criar perfis separados na tabela em vez de compartilhar funções.

Função da tarefa

Recomendamos atribuir um perfil de tarefas. Seu perfil pode ser diferenciado do perfil da instância do Amazon EC2 que está sendo executada. A atribuição de um perfil a cada tarefa se alinha ao princípio do acesso de privilégio mínimo e permite um maior controle granular sobre ações e recursos.

Quando você adiciona um perfil de tarefa a uma definição de tarefa, o agente de contêiner do Amazon ECS cria automaticamente um token com um ID de credencial exclusivo (por exemplo, 12345678-90ab-cdef-1234-567890abcdef) para a tarefa. Esse token e as credenciais do perfil são então adicionados ao cache interno do agente. O agente preenche a variável de ambiente AWS_CONTAINER_CREDENTIALS_RELATIVE_URI no contêiner com o URI do ID da credencial (por exemplo, /v2/credentials/12345678-90ab-cdef-1234-567890abcdef).

É possível recuperar manualmente as credenciais do perfil temporário de dentro de um contêiner anexando a variável de ambiente ao endereço IP do agente de contêiner do Amazon ECS e executando o comando curl na string resultante.

curl 169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI

A saída esperada é a seguinte:

{
	"RoleArn": "arn:aws:iam::123456789012:role/SSMTaskRole-SSMFargateTaskIAMRole-DASWWSF2WGD6",
	"AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
	"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
	"Token": "IQoJb3JpZ2luX2VjEEM/Example==",
	"Expiration": "2021-01-16T00:51:53Z"
}

As versões mais recentes dos AWS SDKs buscam automaticamente essas credenciais da variável de ambiente AWS_CONTAINER_CREDENTIALS_RELATIVE_URI ao fazer chamadas da API da AWS. Para obter informações sobre como renovar credenciais, consulte Renovação de credenciais da AWS no rePost.

A saída inclui um par de chaves de acesso que consiste em um ID de chave de acesso secreto e uma chave secreta que sua aplicação usa para acessar recursos da AWS. Também inclui um token AWS usado para verificar se as credenciais são válidas. Por padrão, as credenciais atribuídas às tarefas usando funções de tarefa são válidas por seis horas. Depois disso, elas serão alternadas automaticamente pelo agente de contêiner do Amazon ECS.

Função de execução de tarefas

O perfil de execução de tarefas é usado para conceder ao agente de contêiner do Amazon ECS permissão para fazer chamar ações específicas da API da AWS em seu nome. Por exemplo, quando você usa AWS Fargate, o Fargate precisa de um perfil do IAM que permita extrair imagens do Amazon ECR e gravar registros no CloudWatch Logs. Um perfil do IAM também é necessária quando uma tarefa faz referência a um segredo armazenado no AWS Secrets Manager, como um segredo de extração de imagem.

Função de instância de contêiner

A política do IAM gerenciada AmazonEC2ContainerServiceforEC2Role deve incluir as permissões a seguir. Ao seguir o aviso de segurança padrão de concessão de privilégio mínimo, a política gerenciada AmazonEC2ContainerServiceforEC2Role pode ser usada como um guia. Se qualquer permissão concedida na política gerenciada não for necessária para seu caso de uso, crie uma política personalizada e adicione apenas as permissões necessárias.

Perfis vinculados a serviço

É possível usar o perfil vinculado ao serviço para o Amazon ECS conceder a permissão de serviço do Amazon ECS para chamar outras APIs de serviço em seu nome. O Amazon ECS precisa das permissões para criar e excluir interfaces de rede, registrar e cancelar o registro de destino com um grupo de destino. Ele também precisa das permissões necessárias para criar e excluir políticas de escalabilidade. Essas permissões são concedidas por meio do perfil vinculado ao serviço. Esse perfil é criado em seu nome na primeira vez que você usa o serviço.

Recomendações de perfis

Recomendamos fazer o seguinte ao configurar suas políticas e perfis do IAM de tarefas.

Configurar acesso aos metadados do Amazon EC2

Ao executar suas tarefas em instâncias do Amazon EC2, recomendamos fortemente que você bloqueie o acesso aos metadados do Amazon EC2 para evitar que seus contêineres herdem o perfil atribuído a essas instâncias. Se a suas aplicações precisarem chamar uma ação da API da AWS, use perfis do IAM para tarefas em vez disso.

Para evitar que tarefas executadas no modo bridge acessem os metadados do Amazon EC2, execute o comando a seguir ou atualize os dados do usuário da instância. Para obter mais instruções sobre como atualizar os dados do usuário de uma instância, consulte este Artigo de suporte da AWS. Para obter mais informações sobre o bridge de definição de tarefas, consulte modo de rede de definição de tarefas.

sudo yum install -y iptables-services; sudo iptables --insert FORWARD 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP

Para que essa alteração persista após uma reinicialização, execute o comando específico a seguir da sua imagem de máquina da Amazon (AMI):

Para tarefas que usem o modo de rede awsvpc, defina a variável de ambiente ECS_AWSVPC_BLOCK_IMDS como true no arquivo /etc/ecs/ecs.config.

Você deve definir a variável ECS_ENABLE_TASK_IAM_ROLE_NETWORK_HOST como false no arquivo ecs-agent config para evitar que os contêineres em execução na rede do host acessem os metadados do Amazon EC2.

Uso do modo de rede awsvpc

Use o modo de rede awsvpc para restringir o fluxo de tráfego entre tarefas diferentes ou entre suas tarefas e outros serviços executados em sua Amazon VPC. Isso acrescenta um nível adicional de segurança. O modo de rede awsvpc fornece isolamento de rede em nível de tarefa para tarefas executadas no Amazon EC2. É o modo padrão ativado no AWS Fargate. É o único modo de rede que pode ser usado para atribuir um grupo de segurança às tarefas.

Use as informações do último acesso para refinar perfis

Recomendamos que você remova todas as ações que nunca tiverem sido usadas ou que não tiverem sido usadas por algum tempo. Isso evita que acessos indesejados ocorram. Para fazer isso, revise as informações do último acesso fornecidas pelo IAM e remova as ações que nunca foram usadas ou que não foram usadas recentemente. Faça isso seguindo as etapas a seguir.

Use o comando a seguir para gerar um relatório mostrando as informações do último acesso à política referenciada:

aws iam generate-service-last-accessed-details --arn arn:aws:iam::123456789012:policy/ExamplePolicy1

use o JobId que estava na saída para executar o comando a seguir. Após você fazer isso, será possível visualizar os resultados do relatório.

aws iam get-service-last-accessed-details --job-id 98a765b4-3cde-2101-2345-example678f9

Para obter mais informações, consulte Refinar permissões na AWS usando as informações do último acesso.

Monitorar o AWS CloudTrail para atividades suspeitas

É possível monitorar o AWS CloudTrail para quaisquer atividades suspeitas. A maioria das chamadas da API da AWS são registradas em log em AWS CloudTrail como eventos. Elas são analisadas pelo AWS CloudTrail Insights, e você será alertado sobre qualquer comportamento suspeito associado às chamadas da API da write. Isso pode incluir um aumento no volume das chamadas. Esses alertas incluem informações como a hora em que a atividade incomum ocorreu e o principal ARN de identidade que contribuiu para as APIs.

É possível identificar ações que sejam executadas por tarefas com um perfil do IAM no AWS CloudTrail examinando a propriedade userIdentity do evento. No exemplo a seguir, o arn inclui o nome do perfil assumido, s3-write-go-bucket-role, seguido pelo nome da tarefa, 7e9894e088ad416eb5cab92afExample.

"userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROA36C6WWEJ2YEXAMPLE:7e9894e088ad416eb5cab92afExample",
    "arn": "arn:aws:sts::123456789012:assumed-role/s3-write-go-bucket-role/7e9894e088ad416eb5cab92afExample",
    ...
}