在 AWS CodeStar 專案中安全地使用 SSM 參數 - AWS CodeStar

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS CodeStar 專案中安全地使用 SSM 參數

許多客户將祕密 (例如登入資料) 存放在Systems Manager 參數存放區參數。現在您可以在 AWS CodeStar 專案中安全地使用這些參數。例如,您可能會想要在的建置規格中使用 SSM 參數,或在工具鏈堆疊 (template.yml) 中定義應用程式資源時使用 SSM 參數。

若要在 AWS CodeStar 專案使用 SSM 參數,您必須手動以 AWS CodeStar 專案 ARN 標記參數。您也必須提供適當的許可給 AWS CodeStar 工具鏈工作者角色來存取您已標記的參數。

開始之前

  • 建立新或識別現有的 Systems Manager 參數,其中包含您希望存取的資訊。

  • 識別您想要使用的 AWS CodeStar 專案,或是建立新專案

  • 記下 CodeStar 專案 ARN。看起來如下:arn:aws:codestar:region-id:account-id:project/project-id

以 AWS CodeStar 專案 ARN 標記參數

請參閱標記 Systems Manager 參數以取得逐步指示。

  1. Key (金鑰) 中,輸入 awscodestar:projectArn

  2. Value (值) 中,輸入來自 CodeStar 的專案 ARN:arn:aws:codestar:region-id:account-id:project/project-id

  3. 選擇 Save (儲存)

現在您可以在 template.yml 檔案中參考 SSM 參數。如果您想要將其搭配工具鏈工作者角色使用,您需要授予額外的許可。

在您的 AWS CodeStar 專案工具鏈中授予使用標記參數的許可

注意

這些步驟僅適用於 2018 年 12 月 6 日之後建立的專案。

  1. 開啟您想要使用之專案的 AWS CodeStar 專案儀表板。

  2. 按一下 Project (專案) 檢視已建立的資源清單,以及尋找工具鏈工作者角色。這是 IAM 資源,具有以下的名稱格式:role/CodeStarWorker-project-id-ToolChain

  3. 按一下 ARN,以在 IAM 主控台中開啟。

  4. 若必要,找到 ToolChainWorkerPolicy 並將其展開。

  5. 按一下 Edit Policy (編輯政策)

  6. Action: 下方新增以下行:

    ssm:GetParameter*

  7. 按一下 Review policy (檢閱政策),然後按一下 Save changes (儲存變更)。

對於在 2018 年 12 月 6 日之前建立的專案,您需要添加以下每個服務的工作者角色許可。

{ "Action": [ "ssm:GetParameter*" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ssm:ResourceTag/awscodestar:projectArn": "arn:aws:codestar:region-id:account-id:project/project-id" } } }