Autorizzazioni IAM richieste Creazione del segreto di Gestione dei segreti Aggiornamento dell'applicazione per il recupero programmatico dei segreti di Gestione dei segreti

Recupera i segreti di Secrets Manager in modo programmatico in Amazon ECS

Utilizza Gestione dei segreti per proteggere i dati sensibili e ruotare, gestire e recuperare credenziali di database, chiavi API e altri segreti durante tutto il loro ciclo di vita.

Invece di codificare le informazioni sensibili in testo normale nell'applicazione, è possibile utilizzare Secrets Manager per archiviare i dati sensibili.

Consigliamo questo metodo di recupero dei dati sensibili perché, se il segreto di Gestione dei segreti verrà aggiornato in futuro, l'applicazione recupererà automaticamente l'ultima versione del segreto.

Creazione di un segreto in Secrets Manager. Dopo aver creato un segreto di Gestione dei segreti, aggiorna il codice dell'applicazione per recuperarlo.

Prima di proteggere i dati sensibili in Gestione dei segreti, considera i seguenti aspetti.

Sono supportati solo i segreti che memorizzano dati di testo, ovvero segreti creati con il SecretString parametro dell'CreateSecretAPI. I segreti che memorizzano dati binari, ovvero segreti creati con il SecretBinary parametro dell'CreateSecretAPI, non sono supportati.
Utilizza gli endpoint VPC dell'interfaccia per migliorare i controlli di sicurezza. È necessario creare gli endpoint VPC di interfaccia per Gestione dei segreti. Per informazioni sull'endpoint VPC, consulta Creazione di endpoint VPC nella Guida per l'utente di AWS Secrets Manager .
Il VPC utilizzato dalla tua attività deve utilizzare la risoluzione DNS.

Autorizzazioni IAM richieste

Per utilizzare questa funzionalità, è necessario disporre del ruolo di esecuzione dei processi di Amazon ECS e fare riferimento allo stesso nella definizione di attività. Per ulteriori informazioni, consulta Ruolo IAM dell'attività Amazon ECS.

Per fornire l'accesso ai segreti di Gestione di segreti che crei, aggiungi manualmente la seguente autorizzazione al ruolo di esecuzione dell'attività. Per avere informazioni sulla gestione delle autorizzazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM nella Guida per l'utente IAM.

secretsmanager:GetSecretValue: obbligatorio se si fa riferimento a un segreto di Gestione dei segreti. Aggiunge l'autorizzazione per recuperare il segreto da Secrets Manager.

La policy dell'esempio seguente aggiunge le autorizzazioni necessarie.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name"
      ]
    }
  ]
}

Creazione del segreto di Gestione dei segreti

Puoi utilizzare la console Secrets Manager per creare un segreto per i dati sensibili. Per ulteriori informazioni sulla creazione dei segreti, consulta Creazione di un segreto AWS Secrets Manager nella Guida per l'utente di AWS Secrets Manager .

Aggiornamento dell'applicazione per il recupero programmatico dei segreti di Gestione dei segreti

Puoi recuperare i segreti con una chiamata alle API di Gestione dei segreti direttamente dall'applicazione. Per informazioni, consulta Recupera segreti dalla AWS Secrets Manager Guida per l'AWS Secrets Manager utente.

Per recuperare i dati sensibili archiviati in AWS Secrets Manager, consulta Esempi di codice per l' AWS Secrets Manager utilizzo degli SDK nella libreria di codici AWSAWS SDK Code Examples.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Le migliori pratiche per la gestione dei segreti

Recupera i segreti di Systems Manager Parameter Store a livello di codice