Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autenticación de registros privados para trabajos
<a name="private-registry"></a>

La autenticación del registro privado para los trabajos AWS Secrets Manager le permite almacenar sus credenciales de forma segura y luego hacer referencia a ellas en su definición de trabajo. Esto proporciona una forma de hacer referencia a las imágenes de contenedores que existen en registros privados y AWS que no requieren autenticación en las definiciones de trabajo. Esta característica se admite para trabajos alojados en instancias de Amazon EC2 y Fargate.

**importante**  
Si la definición del trabajo hace referencia a una imagen que está almacenada en Amazon ECR, este tema no es válido. Para obtener más información, consulte [Utilización de imágenes de Amazon ECR con Amazon ECS](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ECR_on_ECS.html) en la *Guía del usuario de Amazon Elastic Container Registry*.

Para los trabajos alojados en instancias de Amazon EC2, esta característica requiere la versión `1.19.0` del agente de contenedor o una posterior. Sin embargo, recomendamos utilizar la versión más reciente del agente contenedor. Para obtener información sobre cómo comprobar la versión del agente y actualizarlo a la versión más reciente, consulte [Actualización del agente de contenedor de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-agent-update.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

Para los trabajos alojados en Fargate, esta característica requiere la versión de la plataforma `1.2.0` o posterior. Para obtener más información, consulte [Versiones de la plataforma de AWS Fargate Linux](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform-linux-fargate.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

En la definición de contenedor, especifique el objeto `repositoryCredentials` con los detalles del secreto que ha creado. El secreto al que haga referencia puede provenir de una cuenta distinta Región de AWS o distinta de la del trabajo que lo utiliza.

**nota**  
Al usar la AWS Batch API o el AWS SDK, si el secreto existe en el Región de AWS mismo lugar que el trabajo que está lanzando, puede usar el ARN completo o el nombre del secreto. AWS CLI Si el secreto existe en otra cuenta, debe especificarse el ARN completo del secreto. Al utilizar el Consola de administración de AWS, se debe especificar siempre el ARN completo del secreto.

A continuación, se incluye un fragmento de definición de trabajos que muestra los parámetros necesarios:

```
"containerProperties": [
  {
    "image": "private-repo/private-image",
    "repositoryCredentials": {
      "credentialsParameter": "arn:aws:secretsmanager:region:123456789012:secret:secret_name"
    }
  }
]
```

# Permisos de IAM requeridos para la autenticación de registros privados
<a name="private-auth-iam"></a>

Se requiere la función de ejecución para utilizar esta característica. Esto permite que el agente de contenedor extraiga la imagen del contenedor. Para obtener más información, consulte [AWS Batch Función de ejecución de IAM](execution-IAM-role.md).

Para proporcionar acceso a los secretos que cree, agregue los siguientes permisos como una política insertada al rol de ejecución. Para obtener más información, consulte [Adición y eliminación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
+ `secretsmanager:GetSecretValue`
+ `kms:Decrypt`: solo se requiere si la clave utiliza una clave de KMS personalizada y no la clave de KMS predeterminada. Se debe agregar el nombre de recurso de Amazon (ARN) de la clave de personalizada como un recurso.

Es siguiente es un ejemplo de política insertada que agrega los permisos.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:secret_name",
                "arn:aws:kms:us-east-1:123456789012:key/key_id"
            ]
        }
    ]
}
```

------

# Tutorial: creación de un secreto para la autenticación de registros privados
<a name="private-auth-enable"></a>

Complete los siguientes pasos para crear un secreto para sus credenciales de registro privado con AWS Secrets Manager.

**Creación de un secreto básico**

1. Abre la AWS Secrets Manager consola en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Elija **Almacenar un secreto nuevo**.

1. En **Select secret type (Seleccionar tipo de secreto)**, elija **Other type of secrets (Otro tipo de secretos)**.

1. Seleccione **Plaintext (Texto no cifrado)** y especifique sus credenciales de registros privados con el siguiente formato:

   ```
   {
     "username" : "privateRegistryUsername",
     "password" : "privateRegistryPassword"
   }
   ```

1. Elija **Siguiente**.

1. En **Secret name** (Nombre del secreto), ingrese una ruta y un nombre opcionales, como **production/MyAwesomeAppSecret** o **development/TestSecret**, y elija **Next** (Siguiente). Opcionalmente, puede añadir una descripción para ayudarle a recordar el objetivo de este secreto más adelante.

   El nombre del secreto debe estar formado por letras ASCII, dígitos o alguno de los siguientes caracteres: `/_+=.@-`.

1. (Opcional) En este punto puede configurar la rotación para su secreto. Para este procedimiento, deje seleccionado **Disable automatic rotation (Deshabilitar la rotación automática)** y, a continuación, elija **Next (Siguiente)**.

   Para obtener instrucciones sobre cómo configurar la rotación de secretos nuevos o existentes, consulte Cómo [rotar sus AWS Secrets Manager secretos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html).

1. Revise la configuración y, a continuación, elija **Store secret** (Almacenar secreto) para guardar todo lo que ingresó como secreto nuevo en Secrets Manager.

Registre una definición de trabajo y, en **Registro privado**, active **Autenticación del registro privado**. A continuación, en **nombre o ARN de Secrets Manager**, introduzca el nombre de recurso de Amazon (ARN) del secreto. Para obtener más información, consulte [Permisos de IAM requeridos para la autenticación de registros privados](private-auth-iam.md).