Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zugriff auf Windows Job-Benutzergeheimnisse verwalten
Wenn Sie eine Warteschlange mit einem konfigurieren WindowsjobRunAsUser
, müssen Sie ein AWS Secrets Manager Manager-Geheimnis angeben. Es wird erwartet, dass der Wert dieses Geheimnisses ein JSON-kodiertes Objekt der folgenden Form ist:
{ "password": "JOB_USER_PASSWORD" }
Damit Worker Jobs so ausführen können, wie die Warteschlange konfiguriert istjobRunAsUser
, muss die IAM-Rolle der Flotte über die erforderlichen Berechtigungen verfügen, um den Wert des Geheimnisses abzurufen. Wenn das Geheimnis mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt wird, muss die IAM-Rolle der Flotte auch über Berechtigungen zur Entschlüsselung mit dem KMS-Schlüssel verfügen.
Es wird dringend empfohlen, bei diesen Geheimnissen das Prinzip der geringsten Rechte einzuhalten. Das bedeutet, dass der Zugriff zum Abrufen des geheimen Werts von jobRunAsUser
→ → windows
einer Warteschlange wie folgt sein sollte: passwordArn
-
wird einer Flottenrolle zugewiesen, wenn zwischen der Flotte und der Warteschlange eine Verbindung zwischen Warteschlange und Flotte erstellt wird
-
wird einer Flottenrolle entzogen, wenn zwischen der Flotte und der Warteschlange eine Flottenverbindung zwischen der Flotte und der Warteschlange gelöscht wird
Außerdem sollte das AWS Secrets Manager Manager-Geheimnis, das das jobRunAsUser
Passwort enthält, gelöscht werden, wenn es nicht mehr verwendet wird.
Gewähren Sie Zugriff auf ein geheimes Passwort
Deadline Cloud-Flotten benötigen Zugriff auf das jobRunAsUser
Passwort, das im Passwortgeheimnis der Warteschlange gespeichert ist, wenn die Warteschlange und die Flotte verknüpft werden. Wir empfehlen, die AWS Secrets Manager Manager-Ressourcenrichtlinie zu verwenden, um Zugriff auf die Flottenrollen zu gewähren. Wenn Sie sich strikt an diese Richtlinie halten, ist es einfacher festzustellen, welche Flottenrollen Zugriff auf den geheimen Schlüssel haben.
Um Zugriff auf das Geheimnis zu gewähren
-
Öffnen Sie die AWS Secret Manager-Konsole für das Geheimnis.
-
Fügen Sie im Abschnitt „Ressourcenberechtigungen“ eine Richtlinienerklärung der folgenden Form hinzu:
{ "Version" : "2012-10-17", "Statement" : [ //... { "Effect" : "Allow", "Principal" : { "AWS" : "
FLEET_ROLE_ARN
" }, "Action" : "secretsmanager:GetSecretValue", "Resource" : "*" } //... ] }
Widerrufen Sie den Zugriff auf ein geheimes Passwort
Wenn eine Flotte keinen Zugriff mehr auf eine Warteschlange benötigt, entfernen Sie den Zugriff auf das geheime Passwort für die WarteschlangejobRunAsUser
. Wir empfehlen, die AWS Secrets Manager Manager-Ressourcenrichtlinie zu verwenden, um Zugriff auf die Flottenrollen zu gewähren. Wenn Sie sich strikt an diese Richtlinie halten, ist es einfacher festzustellen, welche Flottenrollen Zugriff auf den geheimen Schlüssel haben.
Um den Zugriff auf das Geheimnis zu entziehen
-
Öffnen Sie die AWS Secret Manager-Konsole für das Geheimnis.
-
Entfernen Sie im Abschnitt Ressourcenberechtigungen die Richtlinienerklärung in der folgenden Form:
{ "Version" : "2012-10-17", "Statement" : [ //... { "Effect" : "Allow", "Principal" : { "AWS" : "
FLEET_ROLE_ARN
" }, "Action" : "secretsmanager:GetSecretValue", "Resource" : "*" } //... ] }