सादे EC2 वातावरण के भीतर, अन्य AWS संसाधनों तक पहुंच का प्रबंधन IAM भूमिकाओं और क्रेडेंशियल्स (स्वचालित रूप से उदाहरण मेटाडेटा से प्राप्त) के साथ काफी सीधा है। CloudFormation के साथ और भी आसान है, जहाँ आप किसी विशेष एप्लिकेशन भूमिका को उदाहरण के लिए असाइन करने पर मक्खी पर भूमिकाएँ बना सकते हैं।
अगर मैं डॉकर में माइग्रेट करना चाहता हूं और एक तरह की एम-टू-एन तैनाती है, जहां मेरे पास एम मशीनें हैं, और एन एप्लिकेशन इस पर चल रहे हैं, तो मुझे प्रति-एप्लिकेशन एडब्ल्यूएस संसाधनों तक पहुंच को कैसे प्रतिबंधित करना चाहिए? उदाहरण मेटाडेटा होस्ट पर किसी के द्वारा भी पहुँचा जा सकता है, इसलिए मेरे पास प्रत्येक एप्लिकेशन को उसी परिनियोजन वातावरण में हर दूसरे एप्लिकेशन के डेटा को देखने / संशोधित करने में सक्षम होगा।
ऐसे वातावरण में चल रहे कंटेनरों को सुरक्षा क्रेडेंशियल्स की आपूर्ति के लिए सर्वोत्तम अभ्यास क्या हैं?