Autenticación de registros privados para trabajos - AWS Batch

Autenticación de registros privados para trabajos

La autenticación de registros privados para los trabajos que usan AWS Secrets Manager le permite almacenar sus credenciales de forma segura y hacer referencia a ellas en su definición de trabajo. Esto proporciona una forma de hacer referencia a las imágenes de contenedores que existen en registros privados fuera de AWS que requieren autenticación en las definiciones de trabajos. Esta característica se admite para trabajos alojados en instancias de Amazon EC2 y Fargate.

importante

Si la definición del trabajo hace referencia a una imagen que está almacenada en Amazon ECR, este tema no es válido. Para obtener más información, consulte Utilización de imágenes de Amazon ECR con Amazon ECS en la Guía del usuario de Amazon Elastic Container Registry.

Para los trabajos alojados en instancias de Amazon EC2, esta característica requiere la versión 1.19.0 del agente de contenedor o una posterior. No obstante, recomendamos utilizar la versión del agente de contenedor más reciente. Para obtener información sobre cómo comprobar la versión del agente y actualizarlo a la versión más reciente, consulte Actualización del agente de contenedor de Amazon ECS en la Guía para desarrolladores de Amazon Elastic Container Service.

Para los trabajos alojados en Fargate, esta característica requiere la versión de la plataforma 1.2.0 o posterior. Para obtener más información, consulte Versiones de la plataforma de AWS Fargate Linux en la Guía para desarrolladores de Amazon Elastic Container Service.

En la definición de contenedor, especifique el objeto repositoryCredentials con los detalles del secreto que ha creado. El secreto al que hace referencia puede proceder de una Región de AWS o de otra cuenta distinta del trabajo que lo utiliza.

nota

Cuando se utiliza la API de AWS Batch, la AWS CLI o el SDK de AWS, si el secreto existe en la misma Región de AWS que el trabajo que se va a lanzar, se puede utilizar el ARN completo o el nombre del secreto. Si el secreto existe en otra cuenta, debe especificarse el ARN completo del secreto. Cuando se utiliza la Consola de administración de AWS, siempre debe especificarse el ARN completo del secreto.

A continuación, se incluye un fragmento de definición de trabajos que muestra los parámetros necesarios:

"containerProperties": [
  {
    "image": "private-repo/private-image",
    "repositoryCredentials": {
      "credentialsParameter": "arn:aws:secretsmanager:region:123456789012:secret:secret_name"
    }
  }
]