Specifica di dati sensibili utilizzando segreti di Secrets Manager in Amazon ECS - Amazon Elastic Container Service
PrerequisitiFase 1: Creazione di un segreto di Secrets ManagerFase 2: aggiungere le autorizzazioni segrete al ruolo di esecuzione di attivitàFase 3: creazione di una definizione di attivitàFase 4: creazione di un clusterFase 5: esecuzione di un'attivitàFase 6: verificaFase 7: pulire

Specifica di dati sensibili utilizzando segreti di Secrets Manager in Amazon ECS

Amazon ECS consente di inserire dati sensibili nei container archiviando tali dati nei segreti AWS Secrets Manager e quindi facendovi riferimento nella definizione del container. Per ulteriori informazioni, consulta Trasferimento di dati sensibili a un container Amazon ECS.

Per scoprire come creare un segreto di Secrets Manager, fare riferimento al segreto in una definizione di attività di Amazon ECS e quindi verificarne il funzionamento eseguendo una query sulla variabile di ambiente all'interno di un container che mostra i contenuti del segreto.

Prerequisiti

Questo tutorial presuppone che siano stati soddisfatti i prerequisiti seguenti:

Fase 1: Creazione di un segreto di Secrets Manager

Puoi utilizzare la console Secrets Manager per creare un segreto per i dati sensibili. In questo tutorial creeremmo un segreto di base per l'archiviazione di un nome utente e una password cui fare riferimento in seguito in un container. Per ulteriori informazioni, consulta Creazione di un segreto AWS Secrets Manager nella Guida per l'utente di AWS Secrets Manager.

Le coppie chiave/valore da memorizzare in questo segreto rappresentano il valore della variabile di ambiente nel container alla fine del tutorial.

Salva l'ARN del segreto a cui fare riferimento nella policy IAM di esecuzione dell'attività e nella definizione dell'attività nelle fasi successive.

Fase 2: aggiungere le autorizzazioni segrete al ruolo di esecuzione di attività

Per consentire ad Amazon ECS di recuperare i dati sensibili dal segreto di Secrets Manager, è necessario disporre delle autorizzazioni dei segreti per il ruolo di esecuzione dell'attività. Per ulteriori informazioni, consulta Autorizzazioni per Secrets Manager o Systems Manager.

Fase 3: creazione di una definizione di attività

Puoi utilizzare la console Amazon ECS per creare una definizione di attività che fa riferimento a un segreto di Secrets Manager.

Per creare una definizione di attività che specifichi un segreto

Utilizza la console IAM per aggiornare il ruolo di esecuzione del processo con le autorizzazioni richieste.

  1. Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.

  2. Nel pannello di navigazione, scegli Task Definitions (Definizioni di processo).

  3. Scegli Create new task definition (Crea nuova definizione di attività), Create new task definition with JSON (Crea nuova definizione di attività con JSON).

  4. Nella casella dell'editor JSON, inserire il seguente testo JSON della definizione di attività, assicurandosi di specificare l'ARN completo del segreto di Secrets Manager creato nella fase 1 e il ruolo dell'esecuzione del processo aggiornato nella fase 2. Scegli Salva.

  5. {
    "executionRoleArn": "arn:aws:iam::aws_account_id:role/ecsTaskExecutionRole",
    "containerDefinitions": [
        {
            "entryPoint": [
                "sh",
                "-c"
            ],
            "portMappings": [
                {
                    "hostPort": 80,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": [
                "/bin/sh -c \"echo '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>Congratulations!</h2> <p>Your application is now running on a container in Amazon ECS.</p> </div></body></html>' >  /usr/local/apache2/htdocs/index.html && httpd-foreground\""
            ],
            "cpu": 10,
            "secrets": [
                {
                    "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:username_value",
                    "name": "username_value"
                }
            ],
            "memory": 300,
            "image": "public.ecr.aws/docker/library/httpd:2.4",
            "essential": true,
            "name": "ecs-secrets-container"
        }
    ],
    "family": "ecs-secrets-tutorial"
}

  6. Scegli Crea.

Fase 4: creazione di un cluster

Puoi utilizzare la console Amazon ECS per creare un cluster che contiene un'istanza di container su cui eseguire il processo. Se disponi di un cluster esistente con almeno un'istanza di container registrata nello stesso con le risorse disponibili per eseguire un'istanza della definizione di attività creata per questo tutorial, puoi passare alla fase successiva.

Per questo tutorial creeremo un cluster con una istanza di container t2.micro utilizzando l'AMI Amazon Linux 2 ottimizzata per Amazon ECS.

Per informazioni sulla creazione di un cluster per EC2, consultare Creazione di un cluster Amazon ECS per i carichi di lavoro di Amazon EC2.

Fase 5: esecuzione di un'attività

Puoi utilizzare la console Amazon ECS per eseguire un processo utilizzando la definizione di attività creata. Per questo tutorial verrà eseguito un processo utilizzando EC2, mediante il cluster creato nella fase precedente.

Per informazioni sulla modalità di esecuzione del comando, consulta Esecuzione di un'applicazione come attività Amazon ECS.

Fase 6: verifica

Puoi verificare che tutte le fasi sono state completate correttamente e che la variabile di ambiente è stata creata nel container utilizzando le fasi seguenti.

Per verificare che la variabile di ambiente è stata creata

  1. Trova l'indirizzo DNS o IP pubblico per l'istanza di container.

    1. Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.

    2. Nel riquadro di navigazione, selezionare Cluster e quindi il cluster che è stato creato.

    3. Seleziona Infrastruttura e quindi l'istanza di container.

    4. Registra l'IP pubblico o il DNS pubblico per l'istanza.

  2. Se utilizzi un computer macOS o Linux, connettiti all'istanza con il comando seguente, sostituisci il percorso con la chiave privata e l'indirizzo pubblico dell'istanza:

    $ ssh -i /path/to/my-key-pair.pem ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com

    Per ulteriori informazioni sull'uso di un computer Windows, consultare Connect to your Linux instance using PuTTY nella Guida per l'utente di Amazon EC2.

    Importante

    Per ulteriori informazioni sui problemi di connessione all'istanza, consultare Troubleshooting Connecting to Your Instance nella Guida per l'utente di Amazon EC2.

  3. Elencare i contenitori in esecuzione sull'istanza. Prendere nota dell'ID container per il container ecs-secrets-tutorial.

    docker ps

  4. Eseguire il collegamento al container ecs-secrets-tutorial utilizzando l'ID container dell'output della fase precedente.

    docker exec -it container_ID /bin/bash

  5. Utilizzare il comando echo per stampare il valore della variabile di ambiente.

    echo $username_value

    Se il tutorial è stato completato, viene visualizzato l'output seguente:

    password_value
    Nota

    In alternativa, è possibile elencare tutte le variabili di ambiente nel container utilizzando il comando env (o printenv).

Fase 7: pulire

Una volta terminato questo tutorial, è necessario eliminare le risorse associate per evitare costi aggiuntivi per le risorse non utilizzate.

Come ripulire le risorse

  1. Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.

  2. Nel pannello di navigazione scegliere Clusters (Cluster).

  3. Nella pagina Cluster, scegliere il cluster.

  4. Scegli Elimina Cluster.

  5. Nella casella di conferma, immetti elimina nome cluster, quindi scegli Elimina.

  6. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  7. Nel riquadro di navigazione, seleziona Ruoli.

  8. Cercare l'elenco di ruoli per ecsTaskExecutionRole e selezionarlo.

  9. Seleziona Autorizzazioni, quindi seleziona la X accanto a ECSSecretsTutorial. Scegli Rimuovi.

  10. Apri la console di Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  11. Selezionare il segreto username_value creato e scegliere Actions (Operazioni), Delete secret (Elimina segreto).