Dalam lingkungan EC2 sederhana, mengelola akses ke sumber daya AWS lainnya cukup mudah dengan peran dan kredensial IAM (secara otomatis diambil dari metadata misalnya). Bahkan lebih mudah dengan CloudFormation, di mana Anda dapat membuat peran saat Anda menetapkan peran aplikasi tertentu untuk sebuah instance.
Jika saya ingin bermigrasi ke Docker dan memiliki semacam penyebaran M-ke-N, di mana saya memiliki mesin M, dan aplikasi N berjalan di atasnya, bagaimana saya harus membatasi akses ke sumber daya AWS per-aplikasi? Metadata instance dapat diakses oleh siapa saja di host, jadi saya ingin setiap aplikasi dapat melihat / memodifikasi data setiap aplikasi lain dalam lingkungan penyebaran yang sama.
Apa praktik terbaik untuk memasok kredensial keamanan ke wadah aplikasi yang berjalan di lingkungan seperti itu?