Ambil rahasia Secrets Manager secara terprogram di Amazon ECS - Amazon Elastic Container Service
Izin IAM yang diperlukanBuat rahasia Secrets ManagerPerbarui aplikasi Anda untuk mengambil rahasia Secrets Manager secara terprogram

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ambil rahasia Secrets Manager secara terprogram di Amazon ECS

Gunakan Secrets Manager untuk melindungi data sensitif dan memutar, mengelola, dan mengambil kredensyal database, kunci API, dan rahasia lainnya sepanjang siklus hidupnya.

Alih-alih hardcoding informasi sensitif dalam teks biasa di aplikasi Anda, Anda dapat menggunakan Secrets Manager untuk menyimpan data sensitif.

Kami merekomendasikan metode ini untuk mengambil data sensitif karena jika rahasia Secrets Manager kemudian diperbarui, aplikasi secara otomatis mengambil versi terbaru dari rahasia.

Buat rahasia di Secrets Manager. Setelah Anda membuat rahasia Secrets Manager, perbarui kode aplikasi Anda untuk mengambil rahasia.

Tinjau pertimbangan berikut sebelum mengamankan data sensitif di Secrets Manager.

  • Hanya rahasia yang menyimpan data teks, yang merupakan rahasia yang dibuat dengan SecretString parameter CreateSecretAPI, yang didukung. Rahasia yang menyimpan data biner, yang merupakan rahasia yang dibuat dengan SecretBinary parameter CreateSecretAPI tidak didukung.

  • Gunakan titik akhir VPC antarmuka untuk meningkatkan kontrol keamanan. Anda harus membuat titik akhir VPC antarmuka untuk Secrets Manager. Untuk informasi tentang titik akhir VPC, lihat Membuat titik akhir VPC di Panduan Pengguna.AWS Secrets Manager

  • VPC yang digunakan tugas Anda harus menggunakan resolusi DNS.

Izin IAM yang diperlukan

Untuk menggunakan fitur ini, Anda harus memiliki peran tugas Amazon ECS dan mereferensikannya dalam definisi tugas Anda. Untuk informasi selengkapnya, lihat Peran IAM tugas Amazon ECS.

Untuk memberikan akses ke rahasia Secrets Manager yang Anda buat, tambahkan izin berikut secara manual ke peran eksekusi tugas. Untuk informasi tentang cara mengelola izin, lihat Menambahkan dan Menghapus izin identitas IAM di Panduan Pengguna IAM.

  • secretsmanager:GetSecretValue— Diperlukan jika Anda mereferensikan rahasia Secrets Manager. Menambahkan izin untuk mengambil rahasia dari Secrets Manager.

Contoh kebijakan berikut menambahkan izin yang diperlukan.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name"
      ]
    }
  ]
}

Buat rahasia Secrets Manager

Anda dapat menggunakan konsol Secrets Manager untuk membuat rahasia untuk data sensitif Anda. Untuk informasi tentang cara membuat rahasia, lihat Membuat AWS Secrets Manager rahasia di Panduan AWS Secrets Manager Pengguna.

Perbarui aplikasi Anda untuk mengambil rahasia Secrets Manager secara terprogram

Anda dapat mengambil rahasia dengan panggilan ke Secrets Manager API langsung dari aplikasi Anda. Untuk selengkapnya, lihat Mengambil rahasia dari AWS Secrets Manager Panduan AWS Secrets Manager Pengguna.

Untuk mengambil data sensitif yang disimpan di dalam AWS Secrets Manager, lihat Contoh kode untuk AWS Secrets Manager menggunakan AWS SDK di Pustaka Kode Contoh Kode AWS SDK.