Recuperación de secretos de Secrets Manager mediante programación en Amazon ECS - Amazon Elastic Container Service
Permisos de IAM necesariosCreación de secretos de Secrets ManagerActualice la aplicación para que recupere secretos de Secrets Manager mediante programación

Recuperación de secretos de Secrets Manager mediante programación en Amazon ECS

Utilice Secrets Manager para proteger los datos confidenciales y rotar, administrar y recuperar credenciales de bases de datos, claves de API y otros datos secretos durante todo su ciclo de vida.

En lugar de codificar la información confidencial en texto sin formato en la aplicación, puede utilizar Secrets Manager para almacenar los datos confidenciales.

Recomendamos este método para recuperar datos confidenciales porque si el secreto de Secrets Manager se actualiza luego, la aplicación recuperará automáticamente la versión más reciente del secreto.

Cree un secreto en Secrets Manager. Después de crear un secreto de Secrets Manager, actualice el código de la aplicación para recuperar el secreto.

Revise las siguientes consideraciones antes de proteger datos confidenciales en Secrets Manager.

  • Solo se admiten los secretos que almacenan datos de texto, que son secretos creados con el parámetro SecretString de la API CreateSecret. No son compatibles los secretos que almacenan datos binarios, que son secretos creados con el parámetro SecretBinary de la API CreateSecret.

  • Utilice los puntos de conexión de VPC de interfaz para mejorar los controles de seguridad. Debe crear los puntos de conexión de VPC de interfaz para Secrets Manager. Para obtener información sobre el punto de conexión de VPC, consulte Crear puntos de conexión de VPC en la Guía del usuario de AWS Secrets Manager.

  • La VPC que utiliza la tarea debe usar la resolución de DNS.

Permisos de IAM necesarios

Para utilizar esta característica, debe tener el rol de tareas de Amazon ECS y hacer referencia a él en la definición de tarea. Para obtener más información, consulte Rol de IAM de tarea de Amazon ECS.

Para proporcionar acceso a los secretos de Secrets Manager que cree, agregue manualmente el siguiente permiso al rol de ejecución de tareas. Para obtener información sobre cómo administrar los permisos, consulte Adición y eliminación de permisos de identidad de IAM en la Guía del usuario de IAM.

  • secretsmanager:GetSecretValue: obligatorio si se hace referencia a un secreto de Secrets Manager. Agrega el permiso para recuperar el secreto de Secrets Manager.

La siguiente política de ejemplo agrega los permisos necesarios.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name"
      ]
    }
  ]
}

Creación de secretos de Secrets Manager

Puede utilizar la consola de Secrets Manager para crear un secreto con su información confidencial. Para obtener información acerca de la creación de secretos, consulte Crear un secreto de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.

Actualice la aplicación para que recupere secretos de Secrets Manager mediante programación

Puede recuperar secretos mediante una llamada a las API de Secrets Manager directamente desde la aplicación. Para información, consulte Retrieve secrets from AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.

Para recuperar los datos confidenciales almacenados en el AWS Secrets Manager, consulte Ejemplos de código para AWS Secrets Manager mediante SDK de AWS en la Biblioteca de ejemplos de código del SDK de AWS.