本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理Windows工作使用者密碼的存取
使用設定佇列時 WindowsjobRunAsUser,您必須指定 AWS Secrets Manager 密碼。此密碼的值預期為以下格式的 JSON 編碼物件:
{ "password": "JOB_USER_PASSWORD" }
若要讓 Worker 以佇列的設定方式執行工作jobRunAsUser,叢集的 IAM 角色必須具有權限才能取得密碼的值。如果使用客戶管理的 KMS 金鑰加密密碼,則叢集的 IAM 角色也必須具有使用 KMS 金鑰解密的權限。
強烈建議遵循這些秘密的最低權限原則。這意味著訪問獲取隊列 jobRunAsUser → windows → 的秘密值passwordArn應該是:
-
在叢集與佇列之間建立佇列-叢集關聯時,授與叢集角色
-
刪除叢集與佇列之間的佇列-叢集關聯時,已從叢集角色撤銷
此外,當 AWS 密碼不再使用時,應刪除包含jobRunAsUser密碼的秘密管理員密碼。
授與密碼密碼的存取權
當佇列和叢集相關聯時,雲端叢集需要存取佇列密碼密碼機密中所儲存的密碼。jobRunAsUser我們建議您使用 AWS Secrets Manager 資源原則來授與叢集角色的存取權。如果您嚴格遵守此準則,則更容易判斷哪些叢集角色可以存取密碼。
若要授予密碼存取權
-
開啟 AWS 密碼管理員主控台。
-
在「資源權限」區段中,新增表單的政策陳述式:
{ "Version" : "2012-10-17", "Statement" : [ //... { "Effect" : "Allow", "Principal" : { "AWS" : "FLEET_ROLE_ARN" }, "Action" : "secretsmanager:GetSecretValue", "Resource" : "*" } //... ] }
撤銷對密碼密碼的存取
當叢集不再需要佇列的存取權時,請移除佇列密碼密碼的存取權jobRunAsUser。我們建議您使用 AWS Secrets Manager 資源原則來授與叢集角色的存取權。如果您嚴格遵守此準則,則更容易判斷哪些叢集角色可以存取密碼。
若要撤銷對密碼的存取
-
開啟 AWS 密碼管理員主控台。
-
在 [資源權限] 區段中,移除表單的政策陳述式:
{ "Version" : "2012-10-17", "Statement" : [ //... { "Effect" : "Allow", "Principal" : { "AWS" : "FLEET_ROLE_ARN" }, "Action" : "secretsmanager:GetSecretValue", "Resource" : "*" } //... ] }
