教程:使用 Secrets Manager 密钥指定敏感数据 - Amazon Elastic Container Service
先决条件步骤 1:创建 Secrets Manager 密钥步骤 2:更新任务执行 IAM 角色步骤 3:创建 Amazon ECS 任务定义步骤 4:创建 Amazon ECS 集群步骤 5:运行 Amazon ECS 任务步骤 6:验证步骤 7:清除
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

教程:使用 Secrets Manager 密钥指定敏感数据

Amazon ECS 使您能够向容器中注入敏感数据,方法是将您的敏感数据存储在 Amazon Secrets Manager 密钥中,然后在容器定义中引用它们。有关更多信息,请参阅将敏感数据传递给容器

以下教程说明如何创建 Secrets Manager 密钥,在 Amazon ECS 任务定义中引用该密钥,然后通过查询显示密钥内容的容器内的环境变量来验证它是否有效。

先决条件

本教程假设以下先决条件已完成:

  • 设置以使用 Amazon ECS 中的步骤已完成。

  • 您的 Amazon 用户具有创建所述的 Secrets Manager 和 Amazon ECS 资源所需的 IAM 权限。

步骤 1:创建 Secrets Manager 密钥

您可以使用 Secrets Manager 控制台为您的敏感数据创建密钥。在本教程中,我们将创建一个基本密钥来存储用户名和密码以便稍后在容器中引用。有关更多信息,请参阅 Amazon Secrets Manager 用户指南中的创建基本密钥

key/value pairs to be stored in this secret(要存储在此密钥中的键/值对)是教程末尾处容器中的环境变量值。

保存密钥 ARN 以便在后续步骤中在任务执行 IAM policy 和任务定义中引用。

步骤 2:更新任务执行 IAM 角色

为了让 Amazon ECS 检索 Secrets Manager 密钥中的敏感数据,您必须具有 Amazon ECS 任务执行角色并在任务定义中引用它。这允许容器代理提取必要的 Secrets Manager 资源。如果您尚未创建任务执行 IAM 角色,请参阅 Amazon ECS 任务执行 IAM 角色

以下步骤假设您已创建并适当配置任务执行 IAM 角色。

更新任务执行 IAM 角色

使用 IAM 控制台更新具有所需权限的任务执行角色。

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Roles(角色)。

  3. 在角色列表中搜索 ecsTaskExecutionRole 并将其选定。

  4. 选择 Permissions (权限)Add inline policy (添加内联策略)

  5. 选择 JSON 选项卡并指定以下 JSON 文本,并确保指定您在步骤 1 中创建的 Secrets Manager 密钥的完整 ARN。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:region:aws_account_id:secret:username_value"
            ]
        }
    ]
}

  6. 选择Review policy(查看策略)。对于 Name (名称),指定 ECSSecretsTutorial,然后选择 Create policy (创建策略)

步骤 3:创建 Amazon ECS 任务定义

可以使用 Amazon ECS 控制台创建引用了 Secrets Manager 密钥的任务定义。

创建指定密钥的任务定义

使用 IAM 控制台更新具有所需权限的任务执行角色。

  1. https://console.aws.amazon.com/ecs/v2 打开控制台。

  2. 在导航窗格中,选择 Task definitions(任务定义)。

  3. 选择 Create new task definition(创建新的任务定义)、Create new task definition with JSON(使用 JSON 创建新的任务定义)。

  4. 在 JSON 编辑器框中,编辑您的 JSON 文件,

  5. Select launch type compatibility (选择启动类型兼容性) 页面上,选择 EC2,然后选择 Next step (下一步)

  6. 选择通过 JSON 配置并输入以下任务定义 JSON 文本,确保指定您在步骤 1 中创建的 Secrets Manager 密钥的完整 ARN 以及您在步骤 2 中更新的任务执行 IAM 角色。选择保存

    {
    "executionRoleArn": "arn:aws:iam::aws_account_id:role/ecsTaskExecutionRole",
    "containerDefinitions": [
        {
            "entryPoint": [
                "sh",
                "-c"
            ],
            "portMappings": [
                {
                    "hostPort": 80,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": [
                "/bin/sh -c \"echo '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>Congratulations!</h2> <p>Your application is now running on a container in Amazon ECS.</p> </div></body></html>' >  /usr/local/apache2/htdocs/index.html && httpd-foreground\""
            ],
            "cpu": 10,
            "secrets": [
                {
                    "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:username_value",
                    "name": "username_value"
                }
            ],
            "memory": 300,
            "image": "httpd:2.4",
            "essential": true,
            "name": "ecs-secrets-container"
        }
    ],
    "family": "ecs-secrets-tutorial"
}

  7. 检查设置,然后选择 Create (创建)

步骤 4:创建 Amazon ECS 集群

您可以使用 Amazon ECS 控制台创建一个包含要运行任务的容器实例的集群。如果现有集群中至少注册了一个容器实例,并且具有可用资源来运行为本教程创建的任务定义的一个实例,则可跳到下一步。

在本教程中,我们将创建一个 t2.micro 容器实例,使用经 Amazon ECS 优化的 Amazon Linux 2 AMI。

有关如何为 EC2 启动类型创建集群的信息,请参阅 使用控制台为 Amazon EC2 启动类型创建集群

步骤 5:运行 Amazon ECS 任务

您可以使用 Amazon ECS 控制台通过创建的任务定义运行任务。在本教程中,我们将使用上一步中创建的集群来运行使用 EC2 启动类型的任务。

有关如何运行任务的信息,请参阅 使用 Amazon ECS 控制台运行独立任务

步骤 6:验证

您可以使用以下步骤验证是否已成功完成所有步骤并在容器中正确创建了环境变量。

验证是否已创建环境变量

  1. 查找您的容器实例的公共 IP 或 DNS 地址。

    1. https://console.aws.amazon.com/ecs/v2 打开控制台。

    2. 在导航窗格中,选择集群,然后选择您创建的集群。

    3. 选择基础设施,然后选择容器实例。

    4. 记录您的实例的公有 IP公有 DNS

  2. 如果您使用的是 macOS 或 Linux 计算机,请使用以下命令连接到您的实例,并替换您的私有密钥的路径和实例的公共地址:

    $ ssh -i /path/to/my-key-pair.pem ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com

    有关使用 Windows 计算机的更多信息,请参阅 Linux Instances 的 Amazon EC2 用户指南中的使用 PuTTY 从 Windows 连接到您的 Linux 实例

    重要

    如果您在连接到实例时遇到的任何问题的更多信息,请参阅 Linux Instances 的 Amazon EC2 用户指南中的排除连接实例的故障

  3. 列出正在实例上运行的容器。记下 ecs-secrets-tutorial 容器的容器 ID。

    docker ps

  4. 使用上一步的输出中的容器 ID 连接到 ecs-secrets-tutorial 容器。

    docker exec -it container_ID /bin/bash

  5. 使用 echo 命令打印环境变量的值。

    echo $username_value

    如果教程成功完成,您应看到以下输出:

    password_value
    注意

    或者,您可以使用 env(或 printenv)命令列出容器中的所有环境变量。

步骤 7:清除

完成本教程后,您应清除相关资源,以避免产生与未使用的资源相关的费用。

清除资源

  1. https://console.aws.amazon.com/ecs/v2 打开控制台。

  2. 在导航窗格中,选择 Clusters

  3. Clusters (集群) 页面上,选择要删除的集群。

  4. 在页面的右上角,选择删除集群

    当您没有删除与集群关联的所有资源时,将显示一条消息。

  5. 在确认框中,输入 delete cluster name

  6. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  7. 在导航窗格中,选择 Roles(角色)。

  8. 在角色列表中搜索 ecsTaskExecutionRole 并将其选定。

  9. 选择权限,然后选择X旁边ECSSecretsTutorial。选择 Remove

  10. https://console.aws.amazon.com/secretsmanager/ 打开 Secrets Manager 控制台

  11. 选择您之前创建的 username_value 密钥,然后选择操作删除密钥