Dentro del entorno EC2 simple, administrar el acceso a otros recursos de AWS es bastante sencillo con las funciones y credenciales de IAM (obtenidas automáticamente de los metadatos de la instancia). Aún más fácil con CloudFormation, donde puede crear roles sobre la marcha cuando asigna un rol de aplicación particular a una instancia.
Si quisiera migrar a Docker y tener un tipo de implementación M-to-N, donde tengo M máquinas y N aplicaciones ejecutándose en él, ¿cómo debo restringir el acceso a los recursos de AWS por aplicación? Cualquier persona en el host puede acceder a los metadatos de la instancia, por lo que todas las aplicaciones podrán ver / modificar los datos de todas las demás aplicaciones en el mismo entorno de implementación.
¿Cuáles son las mejores prácticas para suministrar credenciales de seguridad a los contenedores de aplicaciones que se ejecutan en dicho entorno?