发布于: Jul 19, 2023
Amazon Elastic Container Service(ECS)宣布为在 Amazon EC2 上运行的 Linux 和 Windows 容器推出无域组托管服务账户(GMSA)支持。 该集成使托管在 Amazon ECS 上(EC2 上)的应用程序能够轻松通过 Microsoft Active Directory(AD)身份验证,以访问网络共享资源。通过此次发布,客户无需将 ECS 节点加入域即可运行需要 AD 身份验证的容器,即使在自动扩缩事件期间也是如此。
组托管服务账户(gMSA)是一个托管账户,提供自动密码管理、服务主体名称(SPN)管理,而且能够通过多个服务器或实例将管理工作委托给管理员。 这允许多个容器或资源共享一个 AD 账户,而不必单独对每个容器或资源进行身份验证,也无需访问网络共享资源,例如 SQL Server 主机或文件共享。此前,客户已经能够通过将底层节点加入到目标 AD 域来使用 gMSA 运行 ECS 容器。 现在,客户还可以使用最新的 ECS 优化型 Windows AMI 上的内置插件,使底层节点能够检索 gMSA 凭证、可移植用户身份和插件机制,而不是主机账户。阅读这些指南,获取有关如何在 Linux 容器和 ECS 上的 Windows 容器上使用该功能的分步演示。
此功能现已在所有提供 Amazon ECS 的亚马逊云科技区域推出,包括由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域。要了解更多信息并开始使用,请参阅有关在 Linux 容器和 Windows 容器中使用 gMSA 的公共文档。