Gerencie o acesso aos segredos dos usuários do Windows trabalho - AWS Nuvem de prazos
Concessão de acessoRevogar o acesso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerencie o acesso aos segredos dos usuários do Windows trabalho

Ao configurar uma fila com um WindowsjobRunAsUser, você deve especificar um segredo do AWS Secrets Manager. Espera-se que o valor desse segredo seja um objeto codificado em JSON do formato:

{
    "password": "JOB_USER_PASSWORD"
}

Para que os trabalhadores executem trabalhos conforme a fila está configuradajobRunAsUser, a função do IAM da frota deve ter permissões para obter o valor do segredo. Se o segredo for criptografado usando uma chave KMS gerenciada pelo cliente, a função do IAM da frota também deverá ter permissões para descriptografar usando a chave KMS.

É altamente recomendável seguir o princípio do menor privilégio para esses segredos. Isso significa que o acesso para buscar o valor secreto do jobRunAsUserwindows → de uma fila passwordArn deve ser:

  • concedido a uma função de frota quando uma associação fila-frota é criada entre a frota e a fila

  • revogado de uma função de frota quando uma associação fila-frota é excluída entre a frota e a fila

Além disso, o AWS segredo do Secrets Manager contendo a jobRunAsUser senha deve ser excluído quando não estiver mais sendo usado.

Conceder acesso a uma senha secreta

As frotas do Deadline Cloud exigem acesso à jobRunAsUser senha armazenada no segredo da senha da fila quando a fila e a frota estão associadas. Recomendamos usar a política de recursos do AWS Secrets Manager para conceder acesso às funções da frota. Se você seguir rigorosamente essa diretriz, será mais fácil determinar quais funções da frota têm acesso ao segredo.

Para conceder acesso ao segredo

  1. Abra o console do AWS Secret Manager para ver o segredo.

  2. Na seção “Permissões de recursos “, adicione uma declaração de política no formato:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    //...
    {
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "FLEET_ROLE_ARN"
      },
      "Action" : "secretsmanager:GetSecretValue",
      "Resource" : "*"
    }
    //...
  ]
}

Revogar o acesso a uma senha secreta

Quando uma frota não precisar mais acessar uma fila, remova o acesso à senha secreta da filajobRunAsUser. Recomendamos usar a política de recursos do AWS Secrets Manager para conceder acesso às funções da frota. Se você seguir rigorosamente essa diretriz, será mais fácil determinar quais funções da frota têm acesso ao segredo.

Para revogar o acesso ao segredo

  1. Abra o console do AWS Secret Manager para ver o segredo.

  2. Na seção Permissões de recursos, remova a declaração de política do formulário:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    //...
    {
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "FLEET_ROLE_ARN"
      },
      "Action" : "secretsmanager:GetSecretValue",
      "Resource" : "*"
    }
    //...
  ]
}