Extensiones de canalizaciones de CloudWatch

Las extensiones de canalizaciones de CloudWatch proporcionan funciones adicionales para la canalización. Puede usar la integración de AWS Secrets Manager para la administración de credenciales.

Extensión de AWS Secrets Manager

Configura el acceso a AWS Secrets Manager para recuperar credenciales y valores de configuración confidenciales. Esta extensión solo es compatible con orígenes de terceros que requieren credenciales de autenticación.

Configuración

Configure la extensión de AWS Secrets Manager con los siguientes parámetros:


extension:
  aws:
    secrets:
      <secret-name>:
        secret_id: "<secret arn>"
        region: "<secret region>"
        sts_role_arn: "arn:aws:iam::123456789012:role/Example-Role"
        refresh_interval: PT1H
        disable_refresh: false

Parameters

aws.secrets.<secret-name>.secret_id (obligatorio): El ARN del secreto de AWS Secrets Manager que contiene las credenciales.
aws.secrets.<secret-name>.region (obligatorio): La región de AWS en la que se almacena el secreto.
aws.secrets.<secret-name>.sts_role_arn (obligatorio): El ARN del rol de IAM que se asumirá para acceder al secreto de AWS Secrets Manager.
aws.secrets.<secret-name>.refresh_interval (opcional): Con qué frecuencia se actualiza el secreto de AWS Secrets Manager. Utiliza el formato de duración ISO 8601. El valor predeterminado es PT1H (1 hora).
aws.secrets.<secret-name>.disable_refresh (opcional): Si se debe desactivar la actualización automática de secretos. El valor predeterminado es falso.

Sintaxis de referencia de los secretos

Haga referencia a los secretos de la configuración de la canalización con la siguiente sintaxis:


${{aws_secrets:<secret-name>:<key>}}

Por ejemplo, para hacer referencia a un secreto e ID de cliente:


source:
  microsoft_office365:
    authentication:
      oauth2:
        client_id: "${{aws_secrets:office365-creds:client_id}}"
        client_secret: "${{aws_secrets:office365-creds:client_secret}}"

Requisitos y limitaciones

Formato de los secretos: Los secretos deben almacenarse como pares de clave-valor JSON en AWS Secrets Manager.
Acceso entre regiones: Se puede acceder a los secretos desde cualquier región en la que AWS Secrets Manager esté disponible.
Límites de los intervalos de actualización: El intervalo de actualización mínimo es de 5 minutos (PT5M). El máximo es de 24 horas (PT24H).
Cantidad máxima de secretos: Una canalización puede hacer referencia a un máximo de 10 secretos diferentes.

importante

Tenga en cuenta lo siguiente al usar secretos:

Asegúrese de que el rol de IAM tenga los permisos adecuados para acceder a los secretos.
Supervise el acceso de los secretos mediante AWS CloudTrail.
Utilice secretos separados para diferentes entornos (desarrollo, producción)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Permisos y políticas de IAM para canalizaciones de CloudWatch

Supervisión de canalizaciones con métricas de CloudWatch