Recuperación de secretos para la configuración de registro de Amazon ECS
Puede utilizar el parámetro secretOptions
en logConfiguration
para transferir los datos confidenciales que se utilizan para los registros.
Puede almacenar el secreto en Secrets Manager o Systems Manager.
Uso de Secrets Manager
En la definición de contenedor, al especificar una logConfiguration
, puede especificar secretOptions
con el nombre de la opción del controlador de registros para definir el contenedor y el ARN completo del secreto de Secrets Manager que contiene la información confidencial que se va a presentar al contenedor.
A continuación, se incluye un fragmento de código de una definición de tarea que muestra el formato cuando se referencia un secreto de Secrets Manager.
{ "containerDefinitions": [{ "logConfiguration": [{ "logDriver": "
splunk
", "options": { "splunk-url": "https://your_splunk_instance:8088
" }, "secretOptions": [{ "name": "splunk-token
", "valueFrom": "arn:aws:secretsmanager:region
:aws_account_id
:secret:secret_name-AbCdEf
" }] }] }] }
Adición de la variable de entorno a la definición del contenedor
En la definición de contenedor, especifique secrets
con el nombre de la variable de entorno que se va a establecer en el contenedor y el ARN completo del parámetro del Parameter Store de Systems Manager que contiene la información confidencial que se va a presentar al contenedor. Para obtener más información, consulte secrets.
A continuación, se incluye un fragmento de código de una definición de tarea que muestra el formato cuando se hace referencia a un parámetro del Parameter Store de Systems Manager. Si el parámetro del Parameter Store de Systems Manager está en la misma región que la tarea que se va a lanzar, se puede utilizar el ARN completo o el nombre del parámetro. Si el parámetro existe en una región distinta, debe especificar el ARN completo.
{ "containerDefinitions": [{ "secrets": [{ "name": "
environment_variable_name
", "valueFrom": "arn:aws:ssm:region
:aws_account_id
:parameter/parameter_name
" }] }] }
Para obtener información sobre cómo crear una definición de tareas con el secreto especificado en una variable de entorno, consulte Creación de una definición de tareas de Amazon ECS mediante la consola.
Uso de Systems Manager
Puede introducir información confidencial en una configuración de registros. En la definición de contenedor, al especificar una logConfiguration
, puede especificar secretOptions
con el nombre de la opción del controlador de registros que va a definir en el contenedor y el ARN completo del parámetro del Parameter Store de Systems Manager que contiene la información confidencial que se va a presentar al contenedor.
importante
Si el parámetro del Parameter Store de Systems Manager está en la misma región que la tarea que se va a lanzar, se puede utilizar el ARN completo o el nombre del parámetro. Si el parámetro existe en una región distinta, debe especificar el ARN completo.
A continuación, se incluye un fragmento de código de una definición de tarea que muestra el formato cuando se hace referencia a un parámetro del Parameter Store de Systems Manager.
{ "containerDefinitions": [{ "logConfiguration": [{ "logDriver": "
fluentd
", "options": { "tag": "fluentd demo
" }, "secretOptions": [{ "name": "fluentd-address
", "valueFrom": "arn:aws:ssm:region
:aws_account_id
:parameter:/parameter_name
" }] }] }] }