本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Systems Manager Parameter Store 指定敏感数据
Amazon ECS 使您能够向容器中注入敏感数据,方法是将您的敏感数据存储在 AWS Systems Manager Parameter Store 参数中,然后在容器定义中引用它们。
主题
使用 Systems Manager Parameter Store 指定敏感数据的注意事项
使用 Systems Manager Parameter Store 参数指定容器的敏感数据时,应考虑以下事项。
-
对于使用 Fargate 启动类型的任务,此功能要求您的任务使用平台版本 1.3.0 或更高版本。有关信息,请参阅 AWS Fargate 平台版本.
-
对于使用 EC2 启动类型的任务,此功能要求您的容器实例具有 1.22.0 版或更高版本的容器代理。但是,我们建议使用最新的容器代理版本。有关检查您的代理版本并更新到最新版本的信息,请参阅更新 Amazon ECS 容器代理.
-
最初启动容器时,会将敏感数据注入容器中。如果随后更新或轮换密钥或 Parameter Store 参数,则容器将不会自动接收已更新的值。您必须启动新任务,或者如果您的任务是服务的一部分,则可以更新服务并使用强制新部署选项强制服务启动新任务。
-
对于配置为使用
awslogs日志记录驱动程序的 Windows 任务,您还必须在容器实例上设置ECS_ENABLE_AWSLOGS_EXECUTIONROLE_OVERRIDE环境变量。可使用以下语法对用户数据执行此操作:<powershell> [Environment]::SetEnvironmentVariable("ECS_ENABLE_AWSLOGS_EXECUTIONROLE_OVERRIDE", $TRUE, "Machine") Initialize-ECSAgent -Cluster <cluster name> -EnableTaskIAMRole -LoggingDrivers '["json-file","awslogs"]' </powershell>
IAM 密钥所需的Amazon ECS权限
要使用此功能,您必须具有 Amazon ECS 任务执行角色,并在任务定义中引用它。这允许容器代理提取必要的 AWS Systems Manager 资源。有关更多信息,请参阅Amazon ECS 任务执行 IAM 角色.
对于使用 EC2 启动类型的任务,必须使用 ECS 代理配置变量 ECS_ENABLE_AWSLOGS_EXECUTIONROLE_OVERRIDE=true 才能使用此功能。您可以在创建容器实例的过程中将其添加到 ./etc/ecs/ecs.config 文件中,也可以将其添加到现有实例中,然后重新启动 ECS 代理。有关更多信息,请参阅Amazon ECS 容器代理配置.
要提供对您创建的 AWS Systems Manager Parameter Store 参数的访问权限,请将以下权限作为内联策略手动添加到任务执行角色。有关更多信息,请参阅添加和删除 IAM 策略.
-
ssm:GetParameters— 当您在任务定义中引用 Systems Manager Parameter Store 参数时是必需的。 -
secretsmanager:GetSecretValue— 当您直接引用 Secrets Manager 密钥或者您的 Systems Manager Parameter Store 参数在任务定义中引用 Secrets Manager 密钥时,这是必需的。 -
kms:Decrypt— 仅当您的密钥使用自定义 KMS 密钥而不是默认密钥时才需要。您的自定义密钥的 ARN 应添加为资源。
以下示例内联策略添加所需权限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetParameters", "secretsmanager:GetSecretValue", "kms:Decrypt" ], "Resource": [ "arn:aws:ssm:<region>:<aws_account_id>:parameter/<parameter_name>", "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<secret_name>", "arn:aws:kms:<region>:<aws_account_id>:key/<key_id>" ] } ] }
将敏感数据注入为环境变量
在容器定义中,使用要在容器中设置的环境变量的名称和包含要提供给容器的敏感数据的 secrets Parameter Store 参数的完整 ARN 指定 Systems Manager
以下是任务定义的代码段,其中显示了引用 Systems Manager Parameter Store 参数时的格式。如果 Systems Manager Parameter Store 参数存在于要启动的任务所在的区域,则可以使用参数的完整 ARN 或名称。如果参数存在于不同的区域,则必须指定完整的 ARN。
{ "containerDefinitions": [{ "secrets": [{ "name": "environment_variable_name", "valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name" }] }] }
在日志配置中注入敏感数据
在容器定义中,当指定 logConfiguration 时,您可以使用要在容器中设置的日志驱动程序选项的名称以及包含要提供给容器的敏感数据的 secretOptions Parameter Store 参数的完整 ARN 指定 Systems Manager
如果 Systems Manager Parameter Store 参数存在于要启动的任务所在的区域,则可以使用参数的完整 ARN 或名称。如果参数存在于不同的区域,则必须指定完整的 ARN。
以下是任务定义的代码段,其中显示了引用 Systems Manager Parameter Store 参数时的格式。
{ "containerDefinitions": [{ "logConfiguration": [{ "logDriver": "fluentd", "options": { "tag": "fluentd demo" }, "secretOptions": [{ "name": "fluentd-address", "valueFrom": "arn:aws:ssm:region:aws_account_id:parameter:parameter_name" }] }] }] }
创建 AWS Systems Manager Parameter Store 参数
您可以使用 AWS Systems Manager 控制台为您的敏感数据创建 Systems Manager Parameter Store 参数。有关更多信息,请参阅 中的https://docs.amazonaws.cn/systems-manager/latest/userguide/sysman-paramstore-console.html演练:在命令中创建和使用参数(控制台AWS Systems Manager 用户指南)。
创建 Parameter Store 参数
-
通过以下网址打开 AWS Systems Manager 控制台https://console.amazonaws.cn/:systems-manager/
。 -
在导航窗格中,依次选择 Parameter Store 和 Create parameter (创建参数).
-
对于 Name,键入层次结构和参数名称。例如,键入
test/database_password. -
对于 Description (描述),键入可选描述。
-
对于 Type (类型),选择 String (字符串)、 StringList 或 SecureString 。
注意 -
如果您选择 SecureString ,则会显示 KMS Key ID (KMS 密钥 ID) 字段。如果您没有提供 KMS CMK ID、KMS CMK ARN、别名或别名 ARN,则系统将使用
alias/aws/ssm,这是 Systems Manager. 的默认 KMS CMK。要避免使用此密钥,请选择自定义密钥。有关更多信息,请参阅 中的https://docs.amazonaws.cn/systems-manager/latest/userguide/sysman-paramstore-about.html使用安全字符串参数AWS Systems Manager 用户指南。 -
在控制台中使用具有自定义 KMS CMK 别名或别名 ARN 的
key-id参数创建安全字符串参数时,您必须在别名前面指定前缀alias/以下是 ARN 示例:arn:aws:kms:us-east-2:123456789012:alias/MyAliasName以下是别名示例:
alias/MyAliasName
-
-
对于 Value,键入一个值。例如,
MyFirstParameter。 如果您选择SecureString了 ,则值将在您键入时被掩蔽。 -
选择创建参数.
创建引用敏感数据的任务定义
您可以使用 Amazon ECS 控制台创建引用 Systems Manager Parameter Store 参数的任务定义。
创建指定密钥的任务定义
-
在 https://console.amazonaws.cn/ecs/
上打开 Amazon ECS 控制台。 -
在导航窗格中,选择 task definitions (任务定义)、Create new task definition (创建新任务定义)。
-
在 Select launch type compatibility (选择启动类型兼容性) 页面上,选择任务的启动类型,然后选择 Next step (下一步).
注意 此步骤仅适用于当前支持使用 Amazon ECS 的 AWS Fargate. 的区域。有关更多信息,请参阅Amazon ECS,发布时间:AWS Fargate.
-
对于 task definition Name,键入任务定义的名称。 最多能包含 255 个字母 (大写和小写字母)、数字、连字符和下划线。
-
对于 Task execution role (任务执行角色),选择现有任务执行角色,或选择 Create new role (创建新角色) 以为您创建一个角色。此角色授权 Amazon ECS 提取任务的私有映像。有关更多信息,请参阅私有注册表身份验证所需的IAM权限.
重要 如果未显示 Task execution role (任务执行角色) 字段,请选择 Configure via JSON (通过 JSON 配置) 并手动添加
executionRoleArn字段以指定任务执行角色。以下代码显示语法:"executionRoleArn": "arn:aws:iam::aws_account_id:role/ecsTaskExecutionRole" -
对于您的任务定义中要创建的每个容器,请完成以下步骤:
-
在 Container Definitions (容器定义) 下,选择 Add container (添加容器).
-
对于 Container name (容器名称),键入容器的名称。最多能包含 255 个字母 (大写和小写字母)、数字、连字符和下划线。
-
对于 Image (映像),键入映像名称或到您私有映像的路径。最多能包含 255 个字母 (大写和小写字母)、数字、连字符和下划线。
-
展开 Advanced container configuration (高级容器配置).
-
对于要注入为环境变量的敏感数据,在 Environment (环境) 下,对于 Environment variables (环境变量),填写以下字段:
-
对于 Key (键),输入要在容器中设置的环境变量的名称。此选项对应于容器定义的
name部分中的secrets字段。 -
对于 Value (值),选择 ValueFrom 。 对于 Add value (添加值),输入 AWS Systems Manager Parameter Store 参数的完整 ARN,其中包含要作为环境变量提供给容器的数据。
注意 如果 Systems Manager Parameter Store 参数存在于要启动的任务所在的区域,则可以使用密钥的完整 ARN 或名称。如果参数存在于不同的区域,则必须指定完整的 ARN。
-
-
对于容器的日志配置中引用的密钥,在 Storage and Logging (存储和日志记录) 下,对于 Log configuration (日志配置),填写以下字段:
-
清除自动配置CloudWatch Logs选项。
-
在 Log options (日志选项) 下,对于 Key (密钥),输入要设置的日志配置选项的名称。
-
对于 Value (值),选择 ValueFrom 。 对于 Add value (添加值),输入 AWS Systems Manager Parameter Store 参数的名称或完整 ARN,其中包含要作为日志选项提供给日志配置的数据。
注意 如果 Systems Manager Parameter Store 参数存在于要启动的任务所在的区域,则可以使用密钥的完整 ARN 或名称。如果参数存在于不同的区域,则必须指定完整的 ARN。
-
-
填写剩余的必填字段和要在您的容器定义中使用的任何可选字段。高级容器配置菜单中提供了更多容器定义参数。有关更多信息,请参阅任务定义参数.
-
选择 Add.
-
-
当添加您的容器时,请选择 Create (创建).