Otentikasi registri pribadi untuk pekerjaan - AWS Batch
Izin IAM yang diperlukan untuk otentikasi registri pribadiMenggunakan otentikasi registri pribadi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi registri pribadi untuk pekerjaan

Otentikasi registri pribadi untuk pekerjaan yang menggunakan AWS Secrets Manager memungkinkan Anda untuk menyimpan kredensi Anda dengan aman dan kemudian mereferensikannya dalam definisi pekerjaan Anda. Ini menyediakan cara untuk mereferensikan gambar kontainer yang ada di pendaftar pribadi di luar AWS yang memerlukan otentikasi dalam definisi pekerjaan Anda. Fitur ini didukung oleh pekerjaan yang dihosting di instans Amazon EC2 dan Fargate.

penting

Jika definisi pekerjaan Anda mereferensikan gambar yang disimpan di Amazon ECR, topik ini tidak berlaku. Untuk informasi selengkapnya, lihat Menggunakan Gambar Amazon ECR dengan Amazon ECS di Panduan Pengguna Amazon Elastic Container Registry.

Untuk pekerjaan yang dihosting di instans Amazon EC2, fitur ini memerlukan versi 1.19.0 atau yang lebih baru dari agen penampung. Akan tetapi, kami merekomendasikan untuk menggunakan versi agen kontainer terbaru. Untuk informasi tentang cara memeriksa versi agen Anda dan memperbarui ke versi terbaru, lihat Memperbarui agen penampung Amazon ECS di Panduan Pengembang Layanan Kontainer Elastis Amazon.

Untuk pekerjaan yang dihosting di Fargate, fitur ini memerlukan versi platform 1.2.0 atau yang lebih baru. Untuk selengkapnya, lihat versi platform AWS Fargate Linux di Panduan Pengembang Layanan Amazon Elastic Container.

Dalam definisi kontainer Anda, tentukan repositoryCredentials objek dengan detail rahasia yang Anda buat. Rahasia yang Anda referensikan bisa dari akun yang berbeda Wilayah AWS atau berbeda dari pekerjaan yang menggunakannya.

catatan

Saat menggunakan AWS Batch API, AWS CLI, atau AWS SDK, jika rahasia ada Wilayah AWS sama dengan pekerjaan yang Anda luncurkan maka Anda dapat menggunakan ARN lengkap atau nama rahasia. Jika rahasia ada di akun yang berbeda, ARN penuh rahasia harus ditentukan. Saat menggunakan AWS Management Console, ARN penuh rahasia harus ditentukan selalu.

Berikut ini adalah cuplikan definisi pekerjaan yang menunjukkan parameter yang diperlukan:

"containerProperties": [
  {
    "image": "private-repo/private-image",
    "repositoryCredentials": {
      "credentialsParameter": "arn:aws:secretsmanager:region:123456789012:secret:secret_name"
    }
  }
]

Izin IAM yang diperlukan untuk otentikasi registri pribadi

Peran eksekusi diperlukan untuk menggunakan fitur ini. Hal ini mengizinkan agen kontainer untuk menarik citra kontainer. Untuk informasi selengkapnya, lihat AWS Batch eksekusi peran IAM.

Untuk memberikan akses ke rahasia yang Anda buat, tambahkan izin berikut sebagai kebijakan inline ke peran eksekusi. Untuk informasi selengkapnya, lihat Menambahkan dan Menghapus Kebijakan IAM.

  • secretsmanager:GetSecretValue

  • kms:Decrypt—Diperlukan hanya jika kunci Anda menggunakan kunci KMS khusus dan bukan kunci default. Nama Sumber Daya Amazon (ARN) untuk kunci kustom Anda harus ditambahkan sebagai sumber daya.

Berikut ini adalah contoh kebijakan inline yang menambahkan izin.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:region:123456789012:secret:secret_name",
        "arn:aws:kms:region:123456789012:key/key_id"
      ]
    }
  ]
}

Menggunakan otentikasi registri pribadi

Untuk membuat rahasia dasar

Gunakan AWS Secrets Manager untuk membuat rahasia untuk kredenal registri pribadi Anda.

  1. Buka AWS Secrets Manager konsol di https://console.aws.amazon.com/secretsmanager/.

  2. Pilih Store a new secret (Simpan rahasia baru).

  3. Untuk Pilih tipe rahasia, pilih Jenis rahasia lainnya.

  4. Pilih Plaintext dan masukkan kredensial registri privat Anda menggunakan format berikut:

    {
  "username" : "privateRegistryUsername",
  "password" : "privateRegistryPassword"
}

  5. Pilih Selanjutnya.

  6. Untuk nama Rahasia, masukkan jalur dan nama opsional, seperti production/MyAwesomeAppSecret ataudevelopment/TestSecret, dan pilih Berikutnya. Anda dapat menambahkan deskripsi secara opsional untuk membantu Anda mengingat tujuan dari rahasia ini nanti.

    Nama rahasia harus huruf ASCII, digit, atau salah satu karakter berikut:. /_+=.@-

  7. (Opsional) Di sini, Anda dapat mengonfigurasi rotasi untuk rahasia Anda. Untuk prosedur ini, biarkan tetap Disable automatic rotation (Nonaktifkan rotasi otomatis) dan pilih Next (Berikutnya).

    Untuk petunjuk tentang cara mengonfigurasi rotasi pada rahasia baru atau yang sudah ada, lihat Memutar AWS Secrets Manager Rahasia Anda.

  8. Tinjau pengaturan Anda, lalu pilih Simpan rahasia untuk menyimpan semua yang Anda masukkan sebagai rahasia baru di Secrets Manager.

Daftarkan definisi pekerjaan dan di bawah Registri pribadi, aktifkan Otentikasi registri pribadi. Kemudian, di Secrets Manager ARN atau nama, masukkan Amazon Resource Name (ARN) dari rahasia tersebut. Lihat informasi yang lebih lengkap di Izin IAM yang diperlukan untuk otentikasi registri pribadi.