翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Systems Manager Parameter Store を使用して機密データを指定する
を使用すると AWS Batch、 パラメータストアパラメータに機密データを保存してコンテナの定義でそれを参照することによって、コンテナに AWS Systems Manager 機密データを挿入できます。
トピック
Systems Manager パラメータストアを使用した機密データの指定に関する考慮事項
Systems Manager パラメータストアのパラメータを使用してコンテナの機密データを指定する場合は、以下を考慮する必要があります。
-
この機能を使用するには、コンテナインスタンスにコンテナエージェントのバージョン 1.23.0 以降が必要です。ただし、最新のコンテナエージェントのバージョンを使用することをお勧めします。エージェントのバージョンの確認と最新バージョンへの更新の詳細については、Amazon Elastic Container Service デベロッパーガイドのAmazon ECS コンテナエージェントの更新を参照してください。
-
機密データは、コンテナが最初に開始されたときにジョブのコンテナに挿入されます。シークレットまたは Parameter Store パラメータが後で更新またはローテーションされたときに、コンテナは更新された値を自動的に受け取りません。更新されたシークレットを使用して新しいジョブを強制的に起動するには、新しいジョブを起動する必要があります。
AWS Batch シークレットに必要な IAM アクセス許可
この機能を使用するには、実行ロールを持っていて、ジョブ定義でそのロールを参照する必要があります。これにより、Amazon ECS コンテナエージェントは必要な AWS Systems Manager リソースを取得できます。詳細については、「AWS Batch 実行 IAM ロール」を参照してください。
作成した AWS Systems Manager Parameter Store パラメータへのアクセスを許可するには、以下のアクセス許可をインラインポリシーとして実行ロールに手動で追加します。詳細については、IAM ユーザーガイドのIAM ポリシーの追加と削除を参照してください。
-
ssm:GetParameters— Systems Managerパラメータストアのパラメータをタスク定義で参照する場合は必須です。 -
secretsmanager:GetSecretValue— Secrets Manager シークレットを直接参照するか、Systems Manager パラメータストアのパラメータがタスク定義で Secrets Manager シークレットを参照している場合は必須です。 -
kms:Decrypt– シークレットでカスタムの KMS キーを使用し、デフォルトのキーを使用しない場合にのみ必須です。そのカスタムキーの ARN はリソースとして追加されている必要があります。
次の例のインラインポリシーでは必須許可を追加しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetParameters", "secretsmanager:GetSecretValue", "kms:Decrypt" ], "Resource": [ "arn:aws:ssm:<region>:<aws_account_id>:parameter/<parameter_name>", "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<secret_name>", "arn:aws:kms:<region>:<aws_account_id>:key/<key_id>" ] } ] }
環境変数としての機密データの挿入
コンテナの定義内で、コンテナに設定する環境変数の名前と、コンテナに渡す機密データが含まれている Systems Manager パラメータストアのパラメータの ARN 全体を使用して secrets を指定できます。
以下に示すのは、Systems Manager パラメータストアのパラメータを参照するときの形式を示すタスク定義のスニペットです。起動するタスクと同じリージョンに、Systems Manager パラメータストアのパラメータが存在する場合は、パラメータの完全な ARN または名前のどちらも使用できます。パラメータが別のリージョンに存在する場合は、完全な ARN を指定する必要があります。
{ "containerProperties": [{ "secrets": [{ "name": "environment_variable_name", "valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name" }] }] }
ログ設定への機密データの挿入
コンテナの定義内で logConfiguration を指定するときに、コンテナに設定するログドライバーオプションの名前と、コンテナに渡す機密データが含まれている Systems Manager パラメータストアのパラメータの ARN 全体を使用して secretOptions を指定できます。
重要
起動するタスクと同じリージョンに、Systems Manager パラメータストアのパラメータが存在する場合は、パラメータの完全な ARN または名前のどちらも使用できます。パラメータが別のリージョンに存在する場合は、完全な ARN を指定する必要があります。
以下に示すのは、Systems Manager パラメータストアのパラメータを参照するときの形式を示すタスク定義のスニペットです。
{ "containerProperties": [{ "logConfiguration": [{ "logDriver": "fluentd", "options": { "tag": "fluentd demo" }, "secretOptions": [{ "name": "fluentd-address", "valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name" }] }] }] }
AWS Systems Manager Parameter Store パラメータの作成
AWS Systems Manager コンソールを使用して、機密データ用の Systems Manager パラメータストアパラメータを作成できます。詳細については、AWS Systems Manager ユーザーガイドのコマンドでパラメータを作成して使用する (コンソール)を参照してください。
パラメータストア パラメータを作成するには
-
https://console.aws.amazon.com/systems-manager/
で AWS Systems Manager コンソールを開きます。 -
ナビゲーションペインで パラメータストア、パラメータの作成 の順に選択します。
-
名前 に、階層とパラメータ名を入力します。たとえば、
test/database_passwordと入力します。 -
Description] (説明) に説明を入力します (省略可能)。
-
タイプ で、文字列 、StringList、または を選択しますSecureString。
注記
-
を選択するとSecureString、KMS キー ID フィールドが表示されます。KMS キー ID、KMS キー ARN、エイリアス名、またはエイリアス ARN が指定されていない場合、システムは
alias/aws/ssmを使用します。これは、Systems Manager 用のデフォルトの KMS キーです。このキーを使用しない場合は、カスタムキーを選択します。詳細については、AWS Systems Manager ユーザーガイドのSecure String パラメータを使用するを参照してください。 -
コンソールで
key-idパラメータにカスタム KMS キーエイリアス名またはエイリアス ARN のいずれかを指定して Secure String パラメータを作成する場合は、そのエイリアスの前にプレフィックスalias/を指定する必要があります。ARN の例を次に示します。arn:aws:kms:us-east-2:123456789012:alias/MyAliasNameエイリアス名の例を次に示します。
alias/MyAliasName
-
-
Value] (値) に値を入力します。例えば、
MyFirstParameterです。を選択した場合SecureString、値は入力したとおりにマスクされます。 -
パラメータの作成 を選択します。
