Gestione el acceso a los secretos de los usuarios del Windows trabajo - AWS Nube de plazos
Conceder accesoRevocar el acceso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestione el acceso a los secretos de los usuarios del Windows trabajo

Al configurar una cola con un WindowsjobRunAsUser, debe especificar un secreto de AWS Secrets Manager. Se espera que el valor de este secreto sea un objeto codificado en JSON del siguiente formato:

{
    "password": "JOB_USER_PASSWORD"
}

Para que los trabajadores puedan ejecutar las tareas con la cola configuradajobRunAsUser, la función de IAM de la flota debe tener permisos para obtener el valor del secreto. Si el secreto se cifra con una clave de KMS gestionada por el cliente, la función de IAM de la flota también debe tener permisos para descifrarlo mediante la clave de KMS.

Se recomienda encarecidamente seguir el principio del mínimo privilegio para estos secretos. Esto significa que el acceso para obtener el valor secreto de una cola → → debería ser: jobRunAsUser windows passwordArn

  • se otorga a un rol de flota cuando se crea una asociación de cola y flota entre la flota y la cola

  • se revoca de un rol de flota cuando se elimina una asociación de cola y flota entre la flota y la cola

Además, el secreto de AWS Secrets Manager que contiene la jobRunAsUser contraseña debe eliminarse cuando ya no se utilice.

Conceda acceso a una contraseña secreta

Las flotas de Deadline Cloud necesitan acceder a la jobRunAsUser contraseña almacenada en la contraseña secreta de la cola cuando se asocian la cola y la flota. Recomendamos utilizar la política de recursos de AWS Secrets Manager para conceder acceso a las funciones de la flota. Si sigues estrictamente esta directriz, es más fácil determinar qué roles de flota tienen acceso al secreto.

Para conceder acceso al secreto

  1. Abre la consola de AWS Secret Manager para acceder al secreto.

  2. En la sección «Permisos de recursos», añade una declaración de política del siguiente formato:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    //...
    {
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "FLEET_ROLE_ARN"
      },
      "Action" : "secretsmanager:GetSecretValue",
      "Resource" : "*"
    }
    //...
  ]
}

Revocar el acceso a una contraseña secreta

Cuando una flota ya no necesite acceder a una cola, elimine el acceso a la contraseña secreta de la cola. jobRunAsUser Recomendamos utilizar la política de recursos de AWS Secrets Manager para conceder acceso a las funciones de la flota. Si sigues estrictamente esta directriz, es más fácil determinar qué roles de flota tienen acceso al secreto.

Para revocar el acceso al secreto

  1. Abre la consola de AWS Secret Manager para acceder al secreto.

  2. En la sección Permisos de recursos, elimine la declaración de política del formulario:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    //...
    {
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "FLEET_ROLE_ARN"
      },
      "Action" : "secretsmanager:GetSecretValue",
      "Resource" : "*"
    }
    //...
  ]
}