Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Meneruskan data sensitif ke ECS wadah Amazon
Anda dapat meneruskan data sensitif dengan aman, seperti kredensil ke database, ke dalam wadah Anda.
Rahasia, seperti API kunci dan kredensi basis data, sering digunakan oleh aplikasi untuk mendapatkan akses sistem lain. Mereka sering terdiri dari nama pengguna dan kata sandi, sertifikat, atau API kunci. Akses ke rahasia ini harus dibatasi pada IAM prinsipal tertentu yang menggunakan IAM dan disuntikkan ke dalam wadah saat runtime.
Rahasia dapat disuntikkan dengan mulus ke dalam wadah dari AWS Secrets Manager dan Amazon EC2 Systems Manager Parameter Store. Rahasia-rahasia ini dapat direferensikan dalam tugas Anda sebagai salah satu dari berikut ini.
-
Mereka direferensikan sebagai variabel lingkungan yang menggunakan parameter definisi
secrets
kontainer. -
Mereka direferensikan
secretOptions
seolah-olah platform logging Anda memerlukan otentikasi. Untuk informasi selengkapnya, lihat opsi konfigurasi logging. -
Mereka direferensikan sebagai rahasia yang ditarik oleh gambar yang menggunakan parameter definisi
repositoryCredentials
wadah jika registri tempat penampung ditarik memerlukan otentikasi. Gunakan metode ini saat menarik gambar dari Galeri ECR Publik Amazon. Untuk informasi selengkapnya, lihat Autentikasi registri pribadi untuk tugas.
Kami menyarankan Anda melakukan hal berikut saat mengatur manajemen rahasia.
Gunakan AWS Secrets Manager atau AWS Systems Manager Parameter Menyimpan untuk menyimpan materi rahasia
Anda harus menyimpan API kunci, kredensial database, dan materi rahasia lainnya dengan aman di Secrets Manager atau sebagai parameter terenkripsi di Systems Manager Parameter Store. Layanan ini serupa karena keduanya merupakan penyimpanan nilai kunci terkelola yang digunakan AWS KMS untuk mengenkripsi data sensitif. Secrets Manager, bagaimanapun, juga mencakup kemampuan untuk secara otomatis memutar rahasia, menghasilkan rahasia acak, dan berbagi rahasia di seluruh akun. Jika fitur penting ini, gunakan Secrets Manager jika tidak, gunakan parameter terenkripsi.
penting
Jika rahasia Anda berubah, Anda harus memaksa penerapan baru atau meluncurkan tugas baru untuk mengambil nilai rahasia terbaru. Untuk informasi selengkapnya, lihat topik berikut.
-
Tugas - Hentikan tugas, lalu mulailah. Untuk informasi selengkapnya, silakan lihat Menghentikan ECS tugas Amazon dan Menjalankan aplikasi sebagai ECS tugas Amazon.
-
Layanan - Perbarui layanan dan gunakan opsi force new deployment. Untuk informasi selengkapnya, lihat Memperbarui ECS layanan Amazon menggunakan konsol.
Mengambil data dari bucket Amazon S3 terenkripsi
Anda harus menyimpan rahasia di bucket Amazon S3 terenkripsi dan menggunakan peran tugas untuk membatasi akses ke rahasia tersebut. Ini mencegah nilai variabel lingkungan bocor secara tidak sengaja di log dan terungkap saat dijalankan. docker inspect
Ketika Anda melakukan ini, aplikasi Anda harus ditulis untuk membaca rahasia dari ember Amazon S3. Untuk petunjuknya, lihat Menyetel perilaku enkripsi sisi server default untuk bucket Amazon S3.
Pasang rahasia ke volume menggunakan wadah sespan
Karena ada peningkatan risiko kebocoran data dengan variabel lingkungan, Anda harus menjalankan wadah sespan yang membaca rahasia Anda AWS Secrets Manager dan menuliskannya ke volume bersama. Kontainer ini dapat berjalan dan keluar sebelum penampung aplikasi dengan menggunakan pemesanan ECS penampung Amazon. Ketika Anda melakukan ini, wadah aplikasi kemudian memasang volume tempat rahasia itu ditulis. Seperti metode bucket Amazon S3, aplikasi Anda harus ditulis untuk membaca rahasia dari volume bersama. Karena volume tercakup pada tugas, volume secara otomatis dihapus setelah tugas berhenti. Untuk contoh wadah sespan, lihat proyeknya aws-secret-sidecar-injector
Di AmazonEC2, volume tempat rahasia ditulis dapat dienkripsi dengan kunci yang dikelola AWS KMS pelanggan. AWS Fargate Aktif, penyimpanan volume secara otomatis dienkripsi menggunakan kunci yang dikelola layanan.