Zugriff auf Windows Job-Benutzergeheimnisse verwalten - AWS Deadline Cloud
Gewähren von ZugriffZugriff widerrufen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf Windows Job-Benutzergeheimnisse verwalten

Wenn Sie eine Warteschlange mit einem konfigurieren WindowsjobRunAsUser, müssen Sie ein AWS Secrets Manager Manager-Geheimnis angeben. Es wird erwartet, dass der Wert dieses Geheimnisses ein JSON-kodiertes Objekt der folgenden Form ist:

{
    "password": "JOB_USER_PASSWORD"
}

Damit Worker Jobs so ausführen können, wie die Warteschlange konfiguriert istjobRunAsUser, muss die IAM-Rolle der Flotte über die erforderlichen Berechtigungen verfügen, um den Wert des Geheimnisses abzurufen. Wenn das Geheimnis mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt wird, muss die IAM-Rolle der Flotte auch über Berechtigungen zur Entschlüsselung mit dem KMS-Schlüssel verfügen.

Es wird dringend empfohlen, bei diesen Geheimnissen das Prinzip der geringsten Rechte einzuhalten. Das bedeutet, dass der Zugriff zum Abrufen des geheimen Werts von jobRunAsUser → → windows einer Warteschlange wie folgt sein sollte: passwordArn

  • wird einer Flottenrolle zugewiesen, wenn zwischen der Flotte und der Warteschlange eine Verbindung zwischen Warteschlange und Flotte erstellt wird

  • wird einer Flottenrolle entzogen, wenn zwischen der Flotte und der Warteschlange eine Flottenverbindung zwischen der Flotte und der Warteschlange gelöscht wird

Außerdem sollte das AWS Secrets Manager Manager-Geheimnis, das das jobRunAsUser Passwort enthält, gelöscht werden, wenn es nicht mehr verwendet wird.

Gewähren Sie Zugriff auf ein geheimes Passwort

Deadline Cloud-Flotten benötigen Zugriff auf das jobRunAsUser Passwort, das im Passwortgeheimnis der Warteschlange gespeichert ist, wenn die Warteschlange und die Flotte verknüpft werden. Wir empfehlen, die AWS Secrets Manager Manager-Ressourcenrichtlinie zu verwenden, um Zugriff auf die Flottenrollen zu gewähren. Wenn Sie sich strikt an diese Richtlinie halten, ist es einfacher festzustellen, welche Flottenrollen Zugriff auf den geheimen Schlüssel haben.

Um Zugriff auf das Geheimnis zu gewähren

  1. Öffnen Sie die AWS Secret Manager-Konsole für das Geheimnis.

  2. Fügen Sie im Abschnitt „Ressourcenberechtigungen“ eine Richtlinienerklärung der folgenden Form hinzu:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    //...
    {
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "FLEET_ROLE_ARN"
      },
      "Action" : "secretsmanager:GetSecretValue",
      "Resource" : "*"
    }
    //...
  ]
}

Widerrufen Sie den Zugriff auf ein geheimes Passwort

Wenn eine Flotte keinen Zugriff mehr auf eine Warteschlange benötigt, entfernen Sie den Zugriff auf das geheime Passwort für die WarteschlangejobRunAsUser. Wir empfehlen, die AWS Secrets Manager Manager-Ressourcenrichtlinie zu verwenden, um Zugriff auf die Flottenrollen zu gewähren. Wenn Sie sich strikt an diese Richtlinie halten, ist es einfacher festzustellen, welche Flottenrollen Zugriff auf den geheimen Schlüssel haben.

Um den Zugriff auf das Geheimnis zu entziehen

  1. Öffnen Sie die AWS Secret Manager-Konsole für das Geheimnis.

  2. Entfernen Sie im Abschnitt Ressourcenberechtigungen die Richtlinienerklärung in der folgenden Form:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    //...
    {
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "FLEET_ROLE_ARN"
      },
      "Action" : "secretsmanager:GetSecretValue",
      "Resource" : "*"
    }
    //...
  ]
}