As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Autenticação de registro privado para trabalhos
A autenticação de registro privado para uso de trabalhos AWS Secrets Manager permite que você armazene suas credenciais com segurança e, em seguida, faça referência a elas na definição de seu trabalho. Isso fornece uma forma de referenciar imagens de contêiner que existem em registros privados fora dos quais AWS é necessária autenticação em suas definições de trabalho. Esse atributo é compatível em trabalhos hospedados em instâncias do Amazon EC2 e Fargate.
**Importante**
Se a definição de trabalho faz referência a uma imagem armazenada no Amazon ECR, esse tópico não se aplica. Para obter mais informações, consulte [Usar imagens do Amazon ECR com o Amazon ECS](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ECR_on_ECS.html) no *Guia do usuário do Amazon Elastic Container Registry*.
Para trabalhos hospedados em instâncias do Amazon EC2, esse atributo requer a versão `1.19.0` ou posterior do atendente de contêiner. Recomendamos usar a versão mais recente do atendente de contêiner. Para mais informações sobre como verificar a versão do atendente e atualizá-la para a versão mais recente, consulte [Atualizando atendente de Contêiner Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-agent-update.html) no *Guia do Desenvolvedor Amazon Elastic Container Service*.
Para trabalhos hospedados no Fargate, esse atributo requer a versão da plataforma `1.2.0` ou posterior. Para obter informações, consulte [Versões da plataforma AWS Fargate Linux](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform-linux-fargate.html), no *Guia do desenvolvedor do Amazon Elastic Container Service*.
Em sua definição do contêiner, especifique o objeto `repositoryCredentials` com os detalhes do segredo que você criou. O segredo que você menciona pode ser de uma conta diferente Região da AWS ou diferente do trabalho que o usa.
**nota**
Ao usar a AWS Batch API ou o AWS SDK, se o segredo existir da Região da AWS mesma forma que o trabalho que você está iniciando, você poderá usar o ARN completo ou o nome do segredo. AWS CLI Se o segredo existir em outra conta, o ARN completo do segredo deve ser especificado. Ao usar o Console de gerenciamento da AWS, o ARN completo do segredo deve ser especificado sempre.
Veja a seguir um trecho de uma definição de trabalho que mostra os parâmetros necessários.
```
"containerProperties": [
{
"image": "private-repo/private-image",
"repositoryCredentials": {
"credentialsParameter": "arn:aws:secretsmanager:region:123456789012:secret:secret_name"
}
}
]
```
# Permissões do IAM necessárias para a autenticação de registro privado
O perfil de execução é necessário para usar esse atributo. Isso permite que o atendente de contêiner obtenha a imagem do contêiner. Para obter mais informações, consulte [AWS Batch Função de execução do IAM](execution-IAM-role.md).
Para fornecer acesso aos segredos criados por você, adicione as permissões a seguir como uma política em linha ao perfil de execução. Para obter mais informações, consulte [Adicionar e remover políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
+ `secretsmanager:GetSecretValue`
+ `kms:Decrypt`: exigido somente se a chave usar uma chave do KMS personalizada e não a chave padrão. O nome do recurso da Amazon (ARN) da chave personalizada deve ser adicionado como um recurso.
Veja a seguir um exemplo de política em linha que adiciona as permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret_name",
"arn:aws:kms:us-east-1:123456789012:key/key_id"
]
}
]
}
```
------
# Tutorial: criar um segredo para a autenticação de registro privado
Conclua as etapas a seguir para criar um segredo para suas credenciais de registro privado com AWS Secrets Manager.
**Criar um segredo básico**
1. Abra o AWS Secrets Manager console em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Escolha **Armazenar Novo Segredo**.
1. Em **Selecionar Tipo de Segredo**, selecione **Outro Tipo de Segredo**.
1. Selecione **Plaintext (Texto simples)** e insira suas credenciais de registro privado usando o seguinte formato:
```
{
"username" : "privateRegistryUsername",
"password" : "privateRegistryPassword"
}
```
1. Escolha **Próximo**.
1. Em **Secret name** (Nome de segredo), insira um nome e caminho opcionais, como **production/MyAwesomeAppSecret** ou **development/TestSecret** e escolha **Next** (Avançar). Você pode adicionar opcionalmente uma descrição para ajudá-lo a lembrar o objetivo desse segredo mais tarde.
O nome do segredo deve ter somente letras ASCII, números ou qualquer um dos seguintes caracteres: `/_+=.@-`.
1. (Opcional) Nesse momento, será possível configurar a rotação para o segredo. Para esse procedimento, deixe em **Desabilitar Rotação Automática** e escolha **Avançar**.
Para obter instruções sobre como configurar a rotação em segredos novos ou existentes, consulte Como [girar seus AWS Secrets Manager segredos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html).
1. Reveja suas configurações e, em seguida, escolha **Store secret** (Armazenar segredo) para salvar tudo o que você inseriu como novo segredo no Secrets Manager.
Registre uma definição de trabalho e, em **Registro privado**, ative a **Autenticação de registro privado**. Em seguida, em **ARN ou nome do Secrets Manager**, insira o nome do recurso da Amazon (ARN) do segredo. Para obter mais informações, consulte [Permissões do IAM necessárias para a autenticação de registro privado](private-auth-iam.md).