Extensões de pipelines do CloudWatch

As extensões dos pipelines do CloudWatch fornecem funcionalidade adicional ao pipeline. Você pode usar a integração do AWS Secrets Manager para gerenciamento de credenciais.

Extensão AWS Secrets Manager

Configura o acesso ao AWS Secrets Manager para recuperar credenciais e valores de configuração sensíveis. Essa extensão só é compatível com as fontes de terceiros que exigem credenciais de autenticação.

Configuração

Configure a extensão AWS Secrets Manager com os seguintes parâmetros:


extension:
  aws:
    secrets:
      <secret-name>:
        secret_id: "<secret arn>"
        region: "<secret region>"
        sts_role_arn: "arn:aws:iam::123456789012:role/Example-Role"
        refresh_interval: PT1H
        disable_refresh: false

Parâmetros

aws.secrets.<secret-name>.secret_id (obrigatório): O ARN do segredo do AWS Secrets Manager contendo as credenciais.
aws.secrets.<secret-name>.region (obrigatório): A região da AWS onde o segredo está armazenado.
aws.secrets.<secret-name>.sts_role_arn (obrigatório): O ARN do perfil do IAM que deve ser assumido para acessar o segredo do AWS Secrets Manager.
aws.secrets.<secret-name>.refresh_interval (opcional): A frequência com que o segredo do AWS Secrets Manager deve ser atualizado. Usa o formato de duração ISO 8601. O padrão é PT1H (1 hora).
aws.secrets.<secret-name>.disable_refresh (opcional): Se a atualização de segredo automática deve ser desabilitada. O padrão é falso.

Sintaxe de referência a segredo

Referencie segredos em sua configuração de pipeline usando a seguinte sintaxe:


${{aws_secrets:<secret-name>:<key>}}

Por exemplo, para referenciar um ID e um segredo de cliente:


source:
  microsoft_office365:
    authentication:
      oauth2:
        client_id: "${{aws_secrets:office365-creds:client_id}}"
        client_secret: "${{aws_secrets:office365-creds:client_secret}}"

Requisitos e limitações

Formato do segredo: Os segredos devem ser armazenados como pares de valores-chave JSON no AWS Secrets Manager.
Acesso entre regiões: Os segredos podem ser acessados em qualquer região onde o AWS Secrets Manager esteja disponível.
Limites de intervalo para atualização: O intervalo mínimo para atualização é de 5 minutos (PT5M). O máximo é de 24 horas (PT24H).
Máximo de segredos: Um pipeline pode referenciar até 10 segredos diferentes.

Importante

Considere o seguinte ao usar segredos:

Certifique-se de que o perfil do IAM tenha as permissões apropriadas para acessar o segredo
Monitore o acesso ao segredo usando o AWS CloudTrail
Use segredos diferentes para os diversos ambientes (desenvolvimento, produção)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Políticas e permissões do IAM para pipelines do CloudWatch

Monitorar pipelines usando as métricas do CloudWatch