通过环境变 AWS Systems Manager 量检索参数 - Amazon Elastic Container Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过环境变 AWS Systems Manager 量检索参数

Amazon ECS 允许您将敏感数据注入容器中,方法是将敏感数据存储在 AWS Systems Manager 参数存储参数中,然后在容器定义中引用它们。

注意事项

使用环境变量向容器注入 AWS Systems Manager 密钥时,应考虑以下几点。

  • 最初启动容器时,会将敏感数据注入容器中。如果随后更新或轮换密钥,则容器将不会自动接收更新后的值。您必须启动新任务,或者如果您的任务是服务的一部分,则可以更新服务并使用强制新部署选项来强制服务启动新任务。

  • 对于开启的 Amazon ECS 任务 AWS Fargate,应考虑以下几点:

    • 要将密钥的完整内容注入为环境变量或注入到日志配置中,您必须使用版本 1.3.0 或更高版本的平台。有关信息,请参阅 Fargate Linux 平台版本

    • 要将特定 JSON 密钥或密钥版本注入为环境变量或注入到日志配置中,您必须使用平台版本 1.4.0 或更高版本(Linux)或者 1.0.0(Windows)。有关信息,请参阅 Fargate Linux 平台版本

  • 对于 EC2 上的 Amazon ECS 任务,应注意以下事项:

    • 要使用特定的 JSON 密钥或密钥版本注入密钥,容器实例必须具有版本 1.37.0 或更高版本的容器代理。但是,我们建议使用最新的容器代理版本。有关检查您的代理版本并更新到最新版本的信息,请参阅更新 Amazon ECS 容器代理

      要将密钥的完整内容注入为环境变量或将密钥注入日志配置中,您的容器实例必须具有版本 1.22.0 或更高版本的容器代理。

  • 使用接口 VPC 端点增强安全控制。您必须为其创建接口 VPC 终端节点 AWS Systems Manager。有关 VPC 端点的信息,请参阅《AWS Systems Manager 用户指南》中的创建 VPC 端点

  • 对于配置为使用 awslogs 日志记录驱动程序的 Windows 任务,您还必须在容器实例上设置 ECS_ENABLE_AWSLOGS_EXECUTIONROLE_OVERRIDE 环境变量。可使用以下语法对用户数据执行此操作:

    <powershell> [Environment]::SetEnvironmentVariable("ECS_ENABLE_AWSLOGS_EXECUTIONROLE_OVERRIDE", $TRUE, "Machine") Initialize-ECSAgent -Cluster <cluster name> -EnableTaskIAMRole -LoggingDrivers '["json-file","awslogs"]' </powershell>

IAM 权限

要使用此功能,您必须具有 Amazon ECS 任务执行角色,并在任务定义中引用它。这允许容器代理提取必要的 AWS Systems Manager 资源。有关更多信息,请参阅Amazon ECS 任务执行 IAM 角色

重要

对于使用 EC2 启动类型的任务,必须使用 ECS 代理配置变量 ECS_ENABLE_AWSLOGS_EXECUTIONROLE_OVERRIDE=true 才能使用此功能。您可以在创建容器实例的过程中将其添加到 ./etc/ecs/ecs.config 文件中,也可以将其添加到现有实例中,然后重新启动 ECS 代理。有关更多信息,请参阅Amazon ECS 容器代理配置

要提供对您创建的 P AWS Systems Manager arameter Store 参数的访问权限,请手动向任务执行角色添加以下权限。有关如何管理权限的信息,请参阅《IAM 用户指南》中的添加和删除 IAM 身份权限

  • ssm:GetParameters — 当您在任务定义中引用 Systems Manager Parameter Store 参数时是必需的。添加检索 Systems Manager 参数的权限。

  • secretsmanager:GetSecretValue — 当您直接引用 Secrets Manager 密钥或者您的 System Manager Parameter Store 参数在任务定义中引用 Secrets Manager 密钥时,这是必需的。添加从 Secrets Manager 中检索密钥的权限。

  • kms:Decrypt — 仅当您的密钥使用客户托管键而不是默认键时才需要。您的自定义密钥的 ARN 应添加为资源。添加解密客户托管密钥的权限。

以下示例策略添加了所需的权限:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetParameters", "secretsmanager:GetSecretValue", "kms:Decrypt" ], "Resource": [ "arn:aws:ssm:region:aws_account_id:parameter/parameter_name", "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name", "arn:aws:kms:region:aws_account_id:key/key_id" ] } ] }

创建 AWS Systems Manager 参数

您可以使用 Systems Manager 控制台为您的敏感数据创建 Systems Manager Parameter Store 参数。有关更多信息,请参阅《AWS Systems Manager 用户指南》中的创建 Systems Manager 参数(控制台)创建 Systems Manager 参数 (AWS CLI)

将环境变量添加到容器定义中

在容器定义中,使用要在容器中设置的环境变量的名称和包含要提供给容器的敏感数据的 Systems Manager Parameter Store 参数的完整 ARN 指定 secrets。有关更多信息,请参阅secrets

以下是任务定义的片段,其中显示引用 Systems Manager Parameter Store 参数时的格式。如果 Systems Manager Parameter Store 参数存在于要启动的任务所在的区域,则可以使用参数的完整 ARN 或名称。如果参数存在于不同的区域,则指定完整的 ARN。

{ "containerDefinitions": [{ "secrets": [{ "name": "environment_variable_name", "valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name" }] }] }

创建引用敏感数据的任务定义

您可以使用 Amazon ECS 控制台创建引用 Systems Manager Parameter Store 参数的任务定义。

  1. https://console.aws.amazon.com/ecs/v2 打开控制台。

  2. 在导航窗格中,选择 Task definitions(任务定义)

  3. 选择 Create new task definition(创建新的任务定义)、Create new task definition(创建新的任务定义)。

  4. 对于Task definition family(任务定义系列)中,为任务定义指定唯一名称。

  5. 对于在您的任务定义中定义的每个容器,请完成以下步骤。

    1. 对于 Name(名称),输入容器的名称。

    2. 对于 Image URI(映像 URI),输入用于启动容器的映像。Amazon ECR Amazon ECR Public Gallery 注册表中的映像只能使用 Amazon ECR Public 注册表名称来指定。例如,如果 public.ecr.aws/ecs/amazon-ecs-agent:latest 已指定,则使用 Amazon ECR Public Gallery 上托管的 Amazon Linux 容器。对于所有其他存储库,请使用 repository-url/image:tagrepository-url/image@digest 格式指定存储库。

    3. 对于Essential container(关键容器),如果您的任务定义中定义了两个或更多容器,则可以指定是否应将该容器视为关键容器。如果容器被标记为essential(关键),如果该容器停止,那么任务将停止。每个任务定义都必须至少包含一个关键容器。

    4. 端口映射可让容器访问主机容器上的端口以发送或接收流量。在 Port mappings(端口映射)下,请执行以下操作之一:

      • 当您使用 awsvpc 网络模式时,对于 Container port(容器端口)和 Protocol(协议),选择要用于容器的端口映射。

      • 当您使用 bridge 网络模式时,对于 Container port(容器端口)和 Protocol(协议),选择要用于容器的端口映射。您选择下一页上的 bridge 网络模式。选择它之后,选择 Previous(上一个),然后为 Host port(主机端口),指定要为容器预留的容器实例上的端口号。

      选择 Add more port mappings(添加更多端口映射)以指定其他容器端口映射。

    5. 对于要注入为环境变量的敏感数据,请在 Environment (环境) 下,为 Environment variables (环境变量) 填写以下字段:

      1. 对于 Key (键),输入要在容器中设置的环境变量的名称。此选项对应于容器定义的 secrets 部分中的 name 字段。

      2. 对于值类型,选择ValueFrom。在中,输入 AWS Systems Manager 参数存储参数的名称或完整 ARN,该参数包含要作为日志选项呈现给日志配置的数据。

        注意

        如果 Systems Manager Parameter Store 参数存在于要启动的任务所在的区域,则可以使用密钥的完整 ARN 或名称。如果参数存在于不同的区域,则指定完整的 ARN。

    6. (可选)选择 Add more containers(添加更多容器)将其他容器添加到任务定义。一旦定义了所有容器,即选择 Next(下一步)。

  6. 对于应用程序环境任务大小容器大小,填写其余的必填字段和任何可选字段。

  7. (可选)展开 Task roles, network mode(任务角色、网络模式)部分指定以下内容:

    1. 对于 Task role(任务角色),选择要分配到任务的 IAM 角色。任务 IAM 角色为要调用 AWS 的任务中的容器提供权限。

  8. (可选)Storage(存储)部分用于扩展 Fargate 上托管的任务的短暂存储量,以及为该任务添加数据卷配置。

    1. 要将可用的短暂存储扩展到超出您的 Fargate 任务的默认值 20 GiB,请在 Amount(量)中输入一个最高为 200 GiB 的值。

  9. 对于容器的日志配置中引用的敏感数据,请在使用日志收集下,为日志配置完成以下配置:

    1. 选择日志选项,然后在下选择添加

    2. 对于,输入要设置的日志配置选项的名称。

    3. 中,输入 AWS Systems Manager 参数存储参数的名称或完整 ARN,该参数包含要作为日志选项呈现给日志配置的数据。

      注意

      如果 Systems Manager Parameter Store 参数存在于要启动的任务所在的区域,则可以使用密钥的完整 ARN 或名称。如果参数存在于不同的区域,则指定完整的 ARN。

    4. 对于值类型,选择ValueFrom

  10. 选择 Next(下一步)以查看任务定义。

  11. Review and create(审核和创建)页面上,查看每个任务定义部分。选择 Edit (编辑) 以进行更改。任务定义完成后,选择 Create(创建)以注册任务定义。