ECS Exec vs read-only-root-filesystem

Hi,

We're evaluating moving our application deployments from Kubernetes to ECS, but one of the requirements we're struggling with in ECS is command execution. We experimented with ECS Exec, but it requires disabling the readonlyRootFilesystem security feature - see Using Amazon ECS Exec for debugging:

The SSM agent requires that the container file system is able to be written to in order to create the required directories and files. Therefore, making the root file system read-only using the readonlyRootFilesystem task definition parameter, or any other method, isn't supported.

How do ECS users typically deal with this tradeoff? Do you disable readonlyRootFilesystem and find another security measure to mitigate its absence? Or do you forego ECS Exec and find another way to troubleshoot your containers, e.g. by adding more logging to your app?

Thanks,

Jim

Temas

Contenedores AWS Well-Architected Framework

Etiquetas

Amazon Elastic Container Service Seguridad

Idioma

English

Jim D

preguntada hace 3 meses97 visualizaciones

No hay respuestas

Más nuevo
Más votos
Más comentarios

Contenido relevante

¿Cómo soluciono los errores que recibo al ejecutar Amazon ECS Exec en mis tareas de Fargate?
OFICIAL DE AWSActualizada hace un año
¿Cómo soluciono el error «[Servicio de AWS] was unable to place a task because no container instance met all of its requirements» en Amazon ECS?
OFICIAL DE AWSActualizada hace un año
¿Cómo soluciono el error «The managed termination protection setting for the capacity provider is invalid» en Amazon ECS?
OFICIAL DE AWSActualizada hace 3 años
¿Cómo soluciono el error “ECS no pudo asumir el rol” al ejecutar las tareas de Amazon ECS?
OFICIAL DE AWSActualizada hace 2 años