Recuperação de segredos para a configuração do registro em log do Amazon ECS
Você pode usar o parâmetro secretOptions
em logConfiguration
para passar dados confidenciais usados no registro em log.
É possível armazenar o segredo no Secrets Manager ou no Systems Manager.
Uso do Secrets Manager
Na sua definição de contêiner, ao especificar uma logConfiguration
, você pode especificar secretOptions
com o nome da opção de driver de log a ser definida no contêiner e o ARN completo do segredo do Secrets Manager que contém os dados sigilosos a serem apresentados ao contêiner.
Veja a seguir um trecho de uma definição de tarefa mostrando o formato ao fazer referência a um segredo do Secrets Manager.
{ "containerDefinitions": [{ "logConfiguration": [{ "logDriver": "
splunk
", "options": { "splunk-url": "https://your_splunk_instance:8088
" }, "secretOptions": [{ "name": "splunk-token
", "valueFrom": "arn:aws:secretsmanager:region
:aws_account_id
:secret:secret_name-AbCdEf
" }] }] }] }
Adicionar a variável de ambiente à definição de contêiner
Em sua definição de contêiner, especifique secrets
com o nome da variável de ambiente a ser definida no contêiner e o ARN completo do parâmetro Systems Manager Parameter Store contendo os dados sigilosos a serem apresentados. Para ter mais informações, consulte secrets.
Veja a seguir um trecho de uma definição de tarefa mostrando o formato ao fazer referência a um parâmetro do Systems Manager Parameter Store. Se o parâmetro do Systems Manager Parameter Store existir na mesma região da tarefa que está sendo iniciada, será possível usar o ARN completo ou o nome do parâmetro. Se o parâmetro existir em uma região diferente, o ARN completo deverá ser especificado.
{ "containerDefinitions": [{ "secrets": [{ "name": "
environment_variable_name
", "valueFrom": "arn:aws:ssm:region
:aws_account_id
:parameter/parameter_name
" }] }] }
Para obter informações sobre como criar uma definição de tarefa com o segredo especificado em uma variável de ambiente, consulte Criar uma definição de tarefa do Amazon ECS usando o console.
Usar o Systems Manager
É possível injetar dados confidenciais em uma configuração de log. Em sua definição de contêiner, ao especificar logConfiguration
, será possível especificar secretOptions
com o nome da opção de driver de log a ser definida no contêiner e o ARN completo do parâmetro do Systems Manager Parameter Store que contém os dados sigilosos a serem apresentados ao contêiner.
Importante
Se o parâmetro do Systems Manager Parameter Store existir na mesma região da tarefa que está sendo iniciada, será possível usar o ARN completo ou o nome do parâmetro. Se o parâmetro existir em uma região diferente, o ARN completo deverá ser especificado.
Veja a seguir um trecho de uma definição de tarefa mostrando o formato ao fazer referência a um parâmetro do Systems Manager Parameter Store.
{ "containerDefinitions": [{ "logConfiguration": [{ "logDriver": "
fluentd
", "options": { "tag": "fluentd demo
" }, "secretOptions": [{ "name": "fluentd-address
", "valueFrom": "arn:aws:ssm:region
:aws_account_id
:parameter:/parameter_name
" }] }] }] }