本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudWatch 管道擴充功能
CloudWatch 管道延伸為管道提供額外的功能。您可以使用 AWS Secrets Manager 整合進行憑證管理。
AWS Secrets Manager 延伸模組
設定 AWS Secrets Manager 的存取權,以擷取登入資料和敏感組態值。只有需要身分驗證憑證的第三方來源才支援此擴充功能。
Configuration
使用下列參數設定 AWS Secrets Manager 擴充功能:
extension: aws: secrets: <secret-name>: secret_id: "<secret arn>" region: "<secret region>" sts_role_arn: "arn:aws:iam::123456789012:role/Example-Role" refresh_interval: PT1H disable_refresh: false
Parameters
aws.secrets.<secret-name>.secret_id(必要)-
包含憑證之 AWS Secrets Manager 秘密的 ARN。
aws.secrets.<secret-name>.region(必要)-
存放秘密 AWS 的區域。
aws.secrets.<secret-name>.sts_role_arn(必要)-
存取 Secrets Manager 秘密時要擔任之 IAM 角色的 AWS ARN。
aws.secrets.<secret-name>.refresh_interval(選用)-
從 AWS Secrets Manager 重新整理秘密的頻率。使用 ISO 8601 持續時間格式。預設為 PT1H (1 小時)。
aws.secrets.<secret-name>.disable_refresh(選用)-
是否停用自動秘密重新整理。預設為 false。
秘密參考語法
使用下列語法參考管道組態中的秘密:
${{aws_secrets:<secret-name>:<key>}}
例如,若要參考用戶端 ID 和秘密:
source: microsoft_office365: authentication: oauth2: client_id: "${{aws_secrets:office365-creds:client_id}}" client_secret: "${{aws_secrets:office365-creds:client_secret}}"
要求與限制
- 秘密格式
-
秘密必須儲存為 Secrets Manager 中的 AWS JSON 鍵/值對。
- 跨區域存取
-
您可以從任何可使用 Secrets Manager 的區域 AWS 存取秘密。
- 重新整理間隔限制
-
最短重新整理間隔為 5 分鐘 (PT5M)。上限為 24 小時 (PT24H)。
- 最大秘密
-
管道最多可參考 10 個不同的秘密。
重要
使用秘密時,請考慮下列事項:
-
確保 IAM 角色具有存取秘密的適當許可
-
使用 AWS CloudTrail 監控秘密存取
-
針對不同的環境 (開發、生產) 使用個別的秘密
