Как настроить DockerSecurityOptions для определения задачи с использованием CFT yml

Question

Я хочу ограничить докер-контейнеры от получения дополнительных привилегий.Это можно настроить на bash, используя ниже:

docker run --rm -it --security-opt=no-new-privileges ubuntu bash

Но я хочу настроить с помощью шаблона AWS CloudFormation.Добавленный ниже код

DockerSecurityOptions:
    - "--security-opt"
    - "=no-new-privileges"

вызывает исключение. Параметр безопасности Docker --security-opt должен иметь префикс метки: или apparmor: (Сервис: AmazonECS; Код состояния: 400; Код ошибки: ClientException;

затем попытался с

DockerSecurityOptions:
    - "--security-opt"
    - "apparmor=no-new-privileges"

все еще то же исключение при загрузке CFT

Answer 1

Просто хочу убедиться, что выполняются следующие два условия, как указано в здесь

Этот параметр не поддерживается для контейнеров Windows или задач, использующих тип запуска Fargate.

Агент контейнера Amazon ECS, работающий на экземпляре контейнера, должен зарегистрироваться с ECS_SELINUX_CAPABLE = true или ECS_APPARMOR_CAPABLE = true переменными среды, прежде чем контейнеры, помещенные в этот экземпляр, смогут использовать эти параметры безопасности.

ТогдаВы можете повторить попытку с простым синтаксисом, как показано ниже:

DockerSecurityOptions:
    - "no-new-privileges"