As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerencie o acesso aos segredos dos usuários do Windows trabalho
Ao configurar uma fila com um WindowsjobRunAsUser
, você deve especificar um segredo do AWS Secrets Manager. Espera-se que o valor desse segredo seja um objeto codificado em JSON do formato:
{ "password": "JOB_USER_PASSWORD" }
Para que os trabalhadores executem trabalhos conforme a fila está configuradajobRunAsUser
, a função do IAM da frota deve ter permissões para obter o valor do segredo. Se o segredo for criptografado usando uma chave KMS gerenciada pelo cliente, a função do IAM da frota também deverá ter permissões para descriptografar usando a chave KMS.
É altamente recomendável seguir o princípio do menor privilégio para esses segredos. Isso significa que o acesso para buscar o valor secreto do jobRunAsUser
→ windows
→ de uma fila passwordArn
deve ser:
-
concedido a uma função de frota quando uma associação fila-frota é criada entre a frota e a fila
-
revogado de uma função de frota quando uma associação fila-frota é excluída entre a frota e a fila
Além disso, o AWS segredo do Secrets Manager contendo a jobRunAsUser
senha deve ser excluído quando não estiver mais sendo usado.
Conceder acesso a uma senha secreta
As frotas do Deadline Cloud exigem acesso à jobRunAsUser
senha armazenada no segredo da senha da fila quando a fila e a frota estão associadas. Recomendamos usar a política de recursos do AWS Secrets Manager para conceder acesso às funções da frota. Se você seguir rigorosamente essa diretriz, será mais fácil determinar quais funções da frota têm acesso ao segredo.
Para conceder acesso ao segredo
-
Abra o console do AWS Secret Manager para ver o segredo.
-
Na seção “Permissões de recursos “, adicione uma declaração de política no formato:
{ "Version" : "2012-10-17", "Statement" : [ //... { "Effect" : "Allow", "Principal" : { "AWS" : "
FLEET_ROLE_ARN
" }, "Action" : "secretsmanager:GetSecretValue", "Resource" : "*" } //... ] }
Revogar o acesso a uma senha secreta
Quando uma frota não precisar mais acessar uma fila, remova o acesso à senha secreta da filajobRunAsUser
. Recomendamos usar a política de recursos do AWS Secrets Manager para conceder acesso às funções da frota. Se você seguir rigorosamente essa diretriz, será mais fácil determinar quais funções da frota têm acesso ao segredo.
Para revogar o acesso ao segredo
-
Abra o console do AWS Secret Manager para ver o segredo.
-
Na seção Permissões de recursos, remova a declaração de política do formulário:
{ "Version" : "2012-10-17", "Statement" : [ //... { "Effect" : "Allow", "Principal" : { "AWS" : "
FLEET_ROLE_ARN
" }, "Action" : "secretsmanager:GetSecretValue", "Resource" : "*" } //... ] }