Prerequisiti Fase 1: creazione di un segreto di Gestione dei segreti Fase 2: aggiornamento del ruolo IAM di esecuzione dell'attività Fase 3: creazione di una definizione di attività Amazon ECS Fase 4: creazione di un cluster Amazon ECS Fase 5: esecuzione di un'attività di Amazon ECS Fase 6: verifica Fase 7: eliminare

Specificazione di dati sensibili utilizzando i segreti di Secrets Manager in Amazon ECS

Amazon ECS ti consente di iniettare dati sensibili nei tuoi contenitori archiviando i dati sensibili in modo AWS Secrets Manager segreto e quindi facendone riferimento nella definizione del contenitore. Per ulteriori informazioni, consulta Trasferisci dati sensibili a un contenitore Amazon ECS.

Scopri come creare un segreto di Secrets Manager, fare riferimento al segreto in una definizione di attività Amazon ECS e quindi verificarne il funzionamento interrogando la variabile di ambiente all'interno di un contenitore che mostra il contenuto del segreto.

Prerequisiti

Questo tutorial presuppone che siano stati soddisfatti i prerequisiti seguenti:

Hai completato le fasi descritte in Configurazione per l'uso di Amazon ECS.
Il tuo AWS utente dispone delle autorizzazioni IAM necessarie per creare le risorse Secrets Manager e Amazon ECS descritte.

Fase 1: creazione di un segreto di Gestione dei segreti

Puoi utilizzare la console Secrets Manager per creare un segreto per i dati sensibili. In questo tutorial creeremmo un segreto di base per l'archiviazione di un nome utente e una password cui fare riferimento in seguito in un container. Per ulteriori informazioni, consulta Tutorial: Creazione di un segreto di base nella Guida per l'utente di AWS Secrets Manager .

Le coppie chiave/valore da memorizzare in questo segreto rappresentano il valore della variabile di ambiente nel container alla fine del tutorial.

Salva l'ARN del segreto a cui fare riferimento nella policy IAM di esecuzione dell'attività e nella definizione dell'attività nelle fasi successive.

Fase 2: aggiornamento del ruolo IAM di esecuzione dell'attività

Per consentire ad Amazon ECS di recuperare i dati sensibili dal segreto di Secrets Manager, è necessario disporre del ruolo di esecuzione del processo Amazon ECS e fare riferimento a esso nella definizione di attività. Ciò consente all'agente del container di recuperare le risorse di Secrets Manager necessarie. Se non hai già creato il ruolo IAM di esecuzione del processo, consulta Ruolo IAM di esecuzione di attività Amazon ECS.

Le seguenti fasi presuppongono che il ruolo IAM di esecuzione del processo sia già stato creato e correttamente configurato.

Come aggiornare il ruolo IAM di esecuzione del processo

Utilizza la console IAM per aggiornare il ruolo di esecuzione del processo con le autorizzazioni richieste.

Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, seleziona Ruoli.
Cercare l'elenco di ruoli per ecsTaskExecutionRole e selezionarlo.
Scegliere Permissions (Autorizzazioni), Add inline policy (Aggiungi policy inline).

Scegli la scheda JSON e specifica il seguente testo JSON, assicurandoti di specificare l'ARN completo del segreto di Secrets Manager creato nella fase 1.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:region:aws_account_id:secret:username_value"
            ]
        }
    ]
}

Scegli Verifica policy. Per Name (Nome) specificare ECSSecretsTutorial, quindi scegliere Create policy (Crea policy).

Fase 3: creazione di una definizione di attività Amazon ECS

Puoi utilizzare la console Amazon ECS per creare una definizione di attività che fa riferimento a un segreto di Secrets Manager.

Per creare una definizione di attività che specifichi un segreto

Utilizza la console IAM per aggiornare il ruolo di esecuzione del processo con le autorizzazioni richieste.

Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.
Nel pannello di navigazione, scegli Task Definitions (Definizioni di processo).
Scegli Create new task definition (Crea nuova definizione di attività), Create new task definition with JSON (Crea nuova definizione di attività con JSON).
Nella casella dell'editor JSON, inserisci il seguente testo JSON della definizione di attività, assicurandoti di specificare l'ARN completo del segreto di Secrets Manager creato nella fase 1 e il ruolo IAM dell'esecuzione del processo aggiornato nella fase 2. Selezionare Salva.


{
    "executionRoleArn": "arn:aws:iam::aws_account_id:role/ecsTaskExecutionRole",
    "containerDefinitions": [
        {
            "entryPoint": [
                "sh",
                "-c"
            ],
            "portMappings": [
                {
                    "hostPort": 80,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": [
                "/bin/sh -c \"echo '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>Congratulations!</h2> <p>Your application is now running on a container in Amazon ECS.</p> </div></body></html>' >  /usr/local/apache2/htdocs/index.html && httpd-foreground\""
            ],
            "cpu": 10,
            "secrets": [
                {
                    "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:username_value",
                    "name": "username_value"
                }
            ],
            "memory": 300,
            "image": "httpd:2.4",
            "essential": true,
            "name": "ecs-secrets-container"
        }
    ],
    "family": "ecs-secrets-tutorial"
}

Scegli Crea.

Fase 4: creazione di un cluster Amazon ECS

Puoi utilizzare la console Amazon ECS per creare un cluster che contiene un'istanza di container su cui eseguire il processo. Se disponi di un cluster esistente con almeno un'istanza di container registrata nello stesso con le risorse disponibili per eseguire un'istanza della definizione di attività creata per questo tutorial, puoi passare alla fase successiva.

Per questo tutorial creeremo un cluster con una istanza di container t2.micro utilizzando l'AMI Amazon Linux 2 ottimizzata per Amazon ECS.

Per informazioni sulla creazione di un cluster per il tipo di lancio EC2, consulta Creazione di un cluster Amazon ECS per il tipo di lancio Amazon EC2.

Fase 5: esecuzione di un'attività di Amazon ECS

Puoi utilizzare la console Amazon ECS per eseguire un processo utilizzando la definizione di attività creata. Per questo tutorial verrà eseguito un processo utilizzando il tipo di avvio EC2, mediante il cluster creato nella fase precedente.

Per informazioni sulla modalità di esecuzione del comando, consulta Esecuzione di un'applicazione come attività Amazon ECS.

Fase 6: verifica

Puoi verificare che tutte le fasi sono state completate correttamente e che la variabile di ambiente è stata creata nel container utilizzando le fasi seguenti.

Per verificare che la variabile di ambiente è stata creata

Trova l'indirizzo DNS o IP pubblico per l'istanza di container.
1. Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.
2. Nel riquadro di navigazione, seleziona Cluster e quindi il cluster che hai creato.
3. Seleziona Infrastruttura e quindi l'istanza di container.
4. Registra l'IP pubblico o il DNS pubblico per l'istanza.
Se utilizzi un computer macOS o Linux, connettiti all'istanza con il comando seguente, sostituisci il percorso con la chiave privata e l'indirizzo pubblico dell'istanza:
```
$ ssh -i /path/to/my-key-pair.pem ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com
```
Per ulteriori informazioni sull'utilizzo di un computer Windows, consulta Connessione all'istanza Linux da Windows tramite PuTTY nella Guida per l'utente di Amazon EC2.

Importante
Per ulteriori informazioni su eventuali problemi di connessione alla tua istanza, consulta Risoluzione dei problemi di connessione alla tua istanza nella Guida per l'utente di Amazon EC2.
Elencare i contenitori in esecuzione sull'istanza. Prendere nota dell'ID container per il container ecs-secrets-tutorial.
```
docker ps
```
Eseguire il collegamento al container ecs-secrets-tutorial utilizzando l'ID container dell'output della fase precedente.
```
docker exec -it container_ID /bin/bash
```
Utilizzare il comando echo per stampare il valore della variabile di ambiente.
```
echo $username_value
```
Se il tutorial è stato completato, viene visualizzato l'output seguente:
```
password_value
```
Nota
In alternativa, è possibile elencare tutte le variabili di ambiente nel container utilizzando il comando env (o printenv).

Fase 7: eliminare

Una volta terminato questo tutorial, è necessario eliminare le risorse associate per evitare costi aggiuntivi per le risorse non utilizzate.

Come ripulire le risorse

Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.
Nel pannello di navigazione scegliere Clusters (Cluster).
Nella pagina Clusters (Cluster), scegli il cluster.
Scegli Elimina Cluster.
Nella casella di conferma, immetti elimina nome cluster, quindi scegli Elimina.
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, seleziona Ruoli.
Cercare l'elenco di ruoli per ecsTaskExecutionRole e selezionarlo.
Scegli Autorizzazioni, quindi scegli la X accanto a ECS. SecretsTutorial Scegli Rimuovi.
Apri la console di Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.
Selezionare il segreto username_value creato e scegliere Actions (Operazioni), Delete secret (Elimina segreto).

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Recupero di segreti per la configurazione di registrazione

Parametri di definizione di attività