Dans un environnement EC2 standard, la gestion de l'accès aux autres ressources AWS est assez simple avec les rôles et informations d'identification IAM (récupérés automatiquement à partir des métadonnées d'instance). Encore plus facile avec CloudFormation, où vous pouvez créer des rôles à la volée lorsque vous attribuez un rôle d'application particulier à une instance.
Si je voulais migrer vers Docker et avoir une sorte de déploiement M-to-N, où j'ai M machines et N applications en cours d'exécution, comment dois-je procéder pour restreindre l'accès aux ressources AWS par application? Les métadonnées d'instance sont accessibles par n'importe qui sur l'hôte, de sorte que chaque application puisse voir / modifier les données de toutes les autres applications dans le même environnement de déploiement.
Quelles sont les meilleures pratiques pour fournir des informations d'identification de sécurité aux conteneurs d'applications exécutés dans un tel environnement?