Gestisci l'accesso ai segreti degli utenti del Windows lavoro - AWS Deadline Cloud
Concessione dell'accessoRevoca l'accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestisci l'accesso ai segreti degli utenti del Windows lavoro

Quando si configura una coda con un WindowsjobRunAsUser, è necessario specificare un segreto di AWS Secrets Manager. Il valore di questo segreto dovrebbe essere un oggetto del modulo con codifica JSON:

{
    "password": "JOB_USER_PASSWORD"
}

Affinché Workers esegua i job secondo la configurazione della codajobRunAsUser, il ruolo IAM della flotta deve disporre delle autorizzazioni necessarie per ottenere il valore del segreto. Se il segreto è crittografato utilizzando una chiave KMS gestita dal cliente, anche il ruolo IAM della flotta deve disporre delle autorizzazioni per la decrittografia utilizzando la chiave KMS.

Si consiglia vivamente di seguire il principio del privilegio minimo per questi segreti. Ciò significa che l'accesso per recuperare il valore segreto di → → di una coda dovrebbe essere: jobRunAsUser windows passwordArn

  • concesso a un ruolo di flotta quando viene creata un'associazione queue-fleet tra la flotta e la coda

  • revocato da un ruolo di flotta quando viene eliminata un'associazione queue-fleet tra la flotta e la coda

Inoltre, il segreto di AWS Secrets Manager contenente la jobRunAsUser password deve essere eliminato quando non viene più utilizzato.

Concedi l'accesso a una password segreta

Le flotte Deadline Cloud richiedono l'accesso alla jobRunAsUser password memorizzata nella password segreta della coda quando coda e flotta sono associate. Ti consigliamo di utilizzare la politica delle risorse di AWS Secrets Manager per concedere l'accesso ai ruoli della flotta. Se ti attieni rigorosamente a queste linee guida, è più facile determinare quali ruoli della flotta hanno accesso al segreto.

Per concedere l'accesso al segreto

  1. Apri la console AWS Secret Manager al segreto.

  2. Nella sezione «Autorizzazioni per le risorse «, aggiungi una dichiarazione politica nel modulo:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    //...
    {
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "FLEET_ROLE_ARN"
      },
      "Action" : "secretsmanager:GetSecretValue",
      "Resource" : "*"
    }
    //...
  ]
}

Revoca l'accesso a una password segreta

Quando una flotta non richiede più l'accesso a una coda, rimuovi l'accesso alla password segreta per la coda. jobRunAsUser Ti consigliamo di utilizzare la politica delle risorse di AWS Secrets Manager per concedere l'accesso ai ruoli della flotta. Se ti attieni rigorosamente a queste linee guida, è più facile determinare quali ruoli della flotta hanno accesso al segreto.

Per revocare l'accesso al segreto

  1. Apri la console AWS Secret Manager al segreto.

  2. Nella sezione Autorizzazioni delle risorse, rimuovi la dichiarazione politica del modulo:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    //...
    {
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "FLEET_ROLE_ARN"
      },
      "Action" : "secretsmanager:GetSecretValue",
      "Resource" : "*"
    }
    //...
  ]
}