Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Secrets Manager Manager-Geheimnisse programmgesteuert in Amazon ECS abrufen
Verwenden Sie Secrets Manager, um vertrauliche Daten zu schützen und Datenbankanmeldeinformationen, API-Schlüssel und andere Geheimnisse während ihres gesamten Lebenszyklus zu rotieren, zu verwalten und abzurufen.
Anstatt vertrauliche Informationen in Ihrer Anwendung im Klartext fest zu codieren, können Sie Secrets Manager verwenden, um die vertraulichen Daten zu speichern.
Wir empfehlen diese Methode zum Abrufen vertraulicher Daten, da die Anwendung automatisch die neueste Version des Secrets-Manager-Geheimnisses abruft, wenn das Secrets-Manager-Geheimnis anschließend aktualisiert wird.
Erstellen Sie ein Geheimnis in Secrets Manager. Nachdem Sie ein Secrets-Manager-Geheimnis erstellt haben, aktualisieren Sie Ihren Anwendungscode, um das Geheimnis abzurufen.
Lesen Sie die folgenden Überlegungen, bevor Sie vertrauliche Daten in Secrets Manager sichern.
-
Es werden nur Geheimnisse unterstützt, die Textdaten speichern, bei denen es sich um Geheimnisse handelt, die mit dem
SecretStringCreateSecretAPI-Parameter erstellt wurden. Geheimnisse, die Binärdaten speichern, bei denen es sich um Geheimnisse handelt, die mit demSecretBinaryCreateSecretAPI-Parameter erstellt wurden, werden nicht unterstützt. -
Verwenden Sie Schnittstellen-VPC-Endpunkte, um die Sicherheitskontrollen zu verbessern. Sie müssen die Schnittstellen-VPC-Endpunkte für den Secrets Manager erstellen. Informationen über den VPC-Endpunkt finden Sie unter VPC-Endpunkte erstellen im AWS Secrets Manager -Benutzerhandbuch.
-
Die von Ihrer Aufgabe verwendete VPC muss die DNS-Auflösung verwenden.
Erforderliche IAM-Berechtigungen
Zum Verwenden dieses Features benötigen Sie die Amazon-ECS-Aufgabenrolle und müssen in Ihrer Aufgabendefinition auf sie verweisen. Weitere Informationen finden Sie unter IAM-Rolle für Amazon ECS-Aufgaben.
Um Zugriff auf die Secrets-Manager-Geheimnisse zu gewähren, die Sie erstellen, müssen Sie die folgenden Berechtigungen manuell zur Aufgabendefinitionsrolle hinzufügen. Informationen zum Verwalten von Berechtigungen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch.
-
secretsmanager:GetSecretValue– Erforderlich, wenn Sie auf ein Secrets Manager-Geheimnis verweisen. Fügt die Berechtigung zum Abrufen des Secrets von Secrets Manager hinzu.
Das folgende Beispiel einer Richtlinie fügt die erforderlichen Berechtigungen hinzu.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name" ] } ] }
Erstellen des Secrets-Manager-Geheimnisses
Sie können die Secrets Manager-Konsole verwenden, um ein Secret für Ihre sensiblen Daten zu erstellen. Informationen zum Erstellen von Geheimnissen finden Sie unter Erstellen eines AWS Secrets Manager -Geheimnisses im AWS Secrets Manager -Benutzerhandbuch.
Aktualisieren Sie Ihre Anwendung, um Secrets-Manager-Geheimnisse programmgesteuert abzurufen
Sie können Geheimnisse abrufen, indem Sie die Secrets-Manager-APIs direkt aus Ihrer Anwendung aufrufen. Weitere Informationen finden Sie AWS Secrets Manager im AWS Secrets Manager Benutzerhandbuch unter Geheimnisse abrufen von.
Informationen zum Abrufen der in der AWS Secrets Manager gespeicherten vertraulichen Daten finden Sie unter Codebeispiele für die AWS Secrets Manager Verwendung von AWS SDKs in der AWS SDK-Codebeispiel-Codebibliothek.
