CloudWatch ekstensi saluran pipa - Amazon CloudWatch
AWS Ekstensi Secrets Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudWatch ekstensi saluran pipa

CloudWatch ekstensi pipa menyediakan fungsionalitas tambahan ke pipa. Anda dapat menggunakan integrasi AWS Secrets Manager untuk manajemen kredensi.

AWS Ekstensi Secrets Manager

Mengonfigurasi akses ke AWS Secrets Manager untuk mengambil kredensi dan nilai konfigurasi sensitif. Ekstensi ini hanya didukung untuk sumber pihak ketiga yang memerlukan kredensi otentikasi.

Konfigurasi

Konfigurasikan ekstensi AWS Secrets Manager dengan parameter berikut:

extension:
  aws:
    secrets:
      <secret-name>:
        secret_id: "<secret arn>"
        region: "<secret region>"
        sts_role_arn: "arn:aws:iam::123456789012:role/Example-Role"
        refresh_interval: PT1H
        disable_refresh: false
Parameter
aws.secrets.<secret-name>.secret_id(diperlukan)

Rahasia ARN AWS Secrets Manager yang berisi kredensialnya.

aws.secrets.<secret-name>.region(diperlukan)

AWS Wilayah tempat rahasia disimpan.

aws.secrets.<secret-name>.sts_role_arn(diperlukan)

ARN dari peran IAM untuk diasumsikan untuk mengakses rahasia Secrets Manager AWS .

aws.secrets.<secret-name>.refresh_interval (opsional)

Seberapa sering menyegarkan rahasia dari AWS Secrets Manager. Menggunakan format durasi ISO 8601. Default ke PT1 H (1 jam).

aws.secrets.<secret-name>.disable_refresh (opsional)

Apakah akan menonaktifkan penyegaran rahasia otomatis. Default ke false.

Sintaks referensi rahasia

Rahasia referensi dalam konfigurasi pipeline Anda menggunakan sintaks berikut:

${{aws_secrets:<secret-name>:<key>}}

Misalnya, untuk mereferensikan ID klien dan rahasia:

source:
  microsoft_office365:
    authentication:
      oauth2:
        client_id: "${{aws_secrets:office365-creds:client_id}}"
        client_secret: "${{aws_secrets:office365-creds:client_secret}}"

Persyaratan dan pembatasan

Format rahasia

Rahasia harus disimpan sebagai pasangan nilai kunci JSON di Secrets Manager AWS .

Akses Lintas Wilayah

Rahasia dapat diakses dari Wilayah mana pun di mana AWS Secrets Manager tersedia.

Segarkan batas interval

Interval penyegaran minimum adalah 5 menit (PT5M). Maksimal adalah 24 jam (PT24H).

Rahasia maksimum

Pipa dapat merujuk hingga 10 rahasia berbeda.

penting

Pertimbangkan hal berikut saat menggunakan rahasia:

  • Pastikan peran IAM memiliki izin yang sesuai untuk mengakses rahasia

  • Pantau akses rahasia menggunakan AWS CloudTrail

  • Gunakan rahasia terpisah untuk lingkungan yang berbeda (pengembangan, produksi)