Autenticazione del registro privato per i lavori - AWS Batch
Autorizzazioni IAM obbligatorie per l'autenticazione di registri privatiUso dell'autenticazione dei registri privati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione del registro privato per i lavori

L'autenticazione del registro privato per i lavori AWS Secrets Manager consente di archiviare le credenziali in modo sicuro e quindi di farvi riferimento nella definizione del lavoro. In questo modo è possibile fare riferimento alle immagini dei contenitori presenti in registri privati che non richiedono l'autenticazione nelle AWS definizioni dei processi. Questa funzionalità è supportata dai lavori ospitati su istanze Amazon EC2 e Fargate.

Importante

Se la definizione del lavoro fa riferimento a un'immagine archiviata in Amazon ECR, questo argomento non è pertinente. Per ulteriori informazioni, consulta Utilizzo di immagini Amazon ECR con Amazon ECS nella Guida per l'utente di Amazon Elastic Container Registry.

Per i lavori ospitati su istanze Amazon EC2, questa funzionalità richiede una versione 1.19.0 o successiva dell'agente container. Tuttavia, ti consigliamo di utilizzare la versione più recente dell'agente container. Per informazioni su come verificare la versione dell'agente e aggiornarla alla versione più recente, consulta Updating the Amazon ECS Container Agent nella Amazon Elastic Container Service Developer Guide.

Per i lavori ospitati su Fargate, questa funzionalità richiede una versione della piattaforma 1.2.0 o successiva. Per informazioni, consulta le versioni della piattaforma AWS Fargate Linux nella Amazon Elastic Container Service Developer Guide.

All'interno della definizione del container, specifica l'oggetto repositoryCredentials con i dettagli del segreto che hai creato. Il segreto a cui fai riferimento può provenire da un account diverso Regione AWS o diverso da quello del lavoro che lo utilizza.

Nota

Quando si utilizza l' AWS Batch API o l' AWS SDK, se il segreto esiste nello stesso Regione AWS processo che si sta avviando, è possibile utilizzare l'ARN completo o il nome del segreto. AWS CLI Se il segreto esiste in un altro account, occorre specificare l'ARN completo del segreto. Quando si utilizza AWS Management Console, è necessario specificare sempre l'ARN completo del segreto.

Di seguito è riportato un frammento di una definizione di processo che mostra i parametri richiesti:

"containerProperties": [
  {
    "image": "private-repo/private-image",
    "repositoryCredentials": {
      "credentialsParameter": "arn:aws:secretsmanager:region:123456789012:secret:secret_name"
    }
  }
]

Autorizzazioni IAM obbligatorie per l'autenticazione di registri privati

Il ruolo di esecuzione è necessario per utilizzare questa funzionalità. In questo modo l'agente container può recuperare l'immagine del container. Per ulteriori informazioni, consulta AWS Batch esecuzione (ruolo IAM).

Per fornire l'accesso ai segreti che crei, aggiungi le seguenti autorizzazioni come policy in linea al ruolo di esecuzione. Per ulteriori informazioni, consulta Aggiunta e rimozione delle policy IAM.

  • secretsmanager:GetSecretValue

  • kms:Decrypt: obbligatorio solo se la chiave utilizza una chiave KMS personalizzata e non quella di default. Il nome della risorsa Amazon (ARN) per la chiave personalizzata deve essere aggiunto come risorsa.

Di seguito viene riportata una policy inline che aggiunge le autorizzazioni.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:region:123456789012:secret:secret_name",
        "arn:aws:kms:region:123456789012:key/key_id"
      ]
    }
  ]
}

Uso dell'autenticazione dei registri privati

Come creare un segreto di base

AWS Secrets Manager Utilizzatelo per creare un segreto per le credenziali del registro privato.

  1. Apri la AWS Secrets Manager console all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Scegli Archivia un nuovo segreto.

  3. In Select secret type (Seleziona tipo di segreto), scegliere Other type of secrets (Altro tipo di segreti).

  4. Selezionare Plaintext (Testo normale) e inserire le credenziali del registro privato utilizzando il formato seguente:

    {
  "username" : "privateRegistryUsername",
  "password" : "privateRegistryPassword"
}

  5. Seleziona Avanti.

  6. Per Secret name (Nome segreto), digita un percorso e un nome facoltativi come production/MyAwesomeAppSecret o development/TestSecret e seleziona Next (Successivo). Opzionalmente, è possibile aggiungere una descrizione che aiuti a ricordare lo scopo di questo segreto in futuro.

    Il nome del segreto deve essere costituito da lettere ASCII, cifre o uno dei seguenti caratteri: /_+=.@-.

  7. (Opzionale) A questo punto, puoi configurare la rotazione per il tuo segreto. Per questa procedura, lasciare l'impostazione Disable automatic rotation (Disabilita rotazione automatica) e selezionare Next (Successivo).

    Per istruzioni su come configurare la rotazione su segreti nuovi o esistenti, vedi Rotating Your AWS Secrets Manager Secrets.

  8. Verifica le tue impostazioni e poi scegli Store secret (Archivia segreto) per salvare tutti i dati immessi come nuovo segreto in Secrets Manager.

Registra una definizione di lavoro e in Registro privato, attiva l'autenticazione del registro privato. Quindi, in ARN o nome di Gestione dei segreti, inserisci il nome della risorsa Amazon (ARN) del segreto. Per ulteriori informazioni, consulta Autorizzazioni IAM obbligatorie per l'autenticazione di registri privati.