使用应用程序负载均衡器简化 Amazon ECS 中双向 TLS 的应用程序身份验证 - AWS 规范指引
Summary先决条件和限制架构工具最佳实践操作说明相关资源附加信息

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用应用程序负载均衡器简化 Amazon ECS 中双向 TLS 的应用程序身份验证

Olawale Olaleye 和 Shamanth Devagari,Amazon Web Services

Summary

此模式可帮助您使用应用程序负载均衡器(ALB),通过 Amazon Elastic Container Service(Amazon ECS)中的双向 TLS 简化应用程序身份验证并减轻安全负担。使用 ALB,您可以对来自的 X.509 客户端证书进行身份验证。 AWS 私有证书颁发机构这种强大的组合有助于实现服务之间的安全通信,从而减少对应用程序中的复杂身份验证机制的需求。此外,该模式使用 Amazon Elastic Container Registry(Amazon ECR)存储容器映像。

此模式中的示例一开始使用公开映像浏览馆中的 Docker 映像创建示例工作负载;随后,将构建新的 Docker 镜像镜像并将其存储到 Amazon ECR 中。要获取来源,可以考虑基于 Git 的系统,例如 GitHub、或 Bitbucket GitLab,或者使用亚马逊简单存储服务 Amazon S3 (Amazon S3)。要构建 Docker 镜像,请考虑使用 AWS CodeBuild 作为后续镜像。

先决条件和限制

先决条件

  • AWS 账户 具有部署 AWS CloudFormation 堆栈访问权限的活跃用户。确保您拥有 AWS Identity and Access Management (IAM) 用户或角色的部署权限 CloudFormation。

  • AWS Command Line Interface (AWS CLI) 已安装。使用或通过在~/.aws/credentials文件中设置环境变量,在本地计算机 AWS CLI 或环境中@@ 配置您的 AWS 凭证。

  • 已安装 OpenSSL。

  • 已安装 Docker。

  • 熟悉工具中 AWS 服务 描述的内容。

  • 具备 Docker 和 NGINX 的相关知识。

限制

  • 应用程序负载均衡器的双向 TLS 仅支持 X.509v3 客户端证书,不支持 X.509v1 客户端证书。

  • 此模式的代码存储库中提供的 CloudFormation 模板不包括将 CodeBuild 项目配置为堆栈的一部分。

  • 有些 AWS 服务 并非全部可用 AWS 区域。有关区域可用性,请参阅按区域划分的AWS 服务。有关特定端点,请参阅服务端点和配额,然后选择相应服务的链接。

产品版本

  • Docker 版本 27.3.1 或更高版本

  • AWS CLI 版本 2.14.5 或更高版本

架构

下图显示了此模式的架构组件。

使用应用程序负载均衡器通过双向 TLS 进行身份验证的工作流

下图显示了如下工作流:

  1. 创建 Git 存储库,并将应用程序代码提交至该存储库。

  2. 在中创建私有证书颁发机构 (CA) AWS 私有 CA。

  3. 创建 CodeBuild 项目。由提交更改触发,创建 Docker 映像并将构建的映像发布到 Amazon ECR。 CodeBuildproject

  4. 从 CA 复制证书链和证书正文,并将证书捆绑包上传至 Amazon S3。

  5. 使用您上传到 Amazon S3 的 CA 捆绑包创建信任存储。将信任存储与应用程序负载均衡器(ALB)上的双向 TLS 侦听器关联。

  6. 使用私有 CA 为容器工作负载颁发客户端证书。还可以使用创建私有 TLS 证书 AWS 私有 CA。

  7. 将私有 TLS 证书导入 AWS Certificate Manager (ACM),然后将其与 ALB 一起使用。

  8. ServiceTwo 中的容器工作负载与 ServiceOne 中的容器工作负载通信时,会使用已颁发的客户端证书对 ALB 进行身份验证。

  9. ServiceOne 中的容器工作负载与 ServiceTwo 中的容器工作负载通信时,会使用已颁发的客户端证书对 ALB 进行身份验证。

自动化和扩展

这种模式可以通过使用 SDK 中的 CloudFormation AWS Cloud Development Kit (AWS CDK) 、或 API 操作来配置 AWS 资源来实现完全自动化。

您可以使用 AWS CodePipeline 来实现持续集成和持续部署 (CI/CD) 管道,用于自动执行容器映像构建过程并将新版本部署到 Amazon ECS 集群服务。 CodeBuild

工具

AWS 服务

  • AWS Certificate Manager (ACM) 可帮助您创建、存储和续订 X.509 公有和私有 SSL/TLS X.509 证书和密钥,以保护您的 AWS 网站和应用程序。

  • AWS CloudFormation帮助您设置 AWS 资源,快速一致地配置资源,并在和的整个 AWS 账户 生命周期中对其进行管理 AWS 区域。

  • AWS CodeBuild 是一项完全托管式构建服务,可编译源代码、运行单元测试和生成部署就绪的构件。

  • Amazon Elastic Container Registry(Amazon ECR)是一项安全、可扩展且可靠的托管容器映像注册表服务。

  • Amazon Elastic Container Service(Amazon ECS)是一项高度可扩展的快速容器管理服务,可助您轻松运行、停止和管理集群上的容器。您可以在由 AWS Fargate管理的无服务器基础架构上运行任务和服务。或者,为了更好地控制您的基础设施,您可以在您管理的亚马逊弹性计算云 (Amazon EC2) 实例集群上运行任务和服务。

  • Amazon ECS Exec 允许您直接与容器交互,而无需首先与主机容器操作系统交互、打开入站端口或管理 SSH 密钥。您可以使用 ECS Exec 在 Amazon EC2 实例上或上运行的容器中运行命令或获取外壳程序。 AWS Fargate

  • 弹性负载均衡(ELB) 将传入的应用程序或网络流量分配到多个目标。例如,您可以在一个或多个可用区内的 Amazon EC2 实例、容器和 IP 地址之间分配流量。ELB 会监控已注册目标的运行状况,并仅将流量传输到运行状况良好的目标。ELB 根据传入流量随时间的变化对负载均衡器进行扩展。它可以自动扩缩来处理大部分工作负载。

  • AWS Fargate无需管理服务器或 Amazon EC2 实例,即可帮助您运行容器。Fargate 与 Amazon ECS 和 Amazon Elastic Kubernetes Service(Amazon EKS)兼容。您可以使用 Fargate 启动类型或 Fargate 容量提供程序来运行 Amazon ECS 任务和服务。为此,将应用程序打包到容器中、指定 CPU 和内存要求、定义联网和 IAM 策略并启动应用程序。每个 Fargate 任务都具有自己的隔离边界,不与其他任务共享底层内核、CPU 资源、内存资源或弹性网络接口。

  • AWS 私有证书颁发机构允许创建私有证书颁发机构 (CA) 层次结构,包括根和下级结构 CAs,而无需运营本地 CA 的投资和维护成本。

其他工具

  • Docker 是一组平台即服务(PaaS)产品,它们利用操作系统级的虚拟化技术在容器中提供软件。

  • GitHubGitLab、和 Bitbucket 是一些常用的基于 Git 的源代码控制系统,用于跟踪源代码更改。

  • NGINX Open Source 是一款开源的负载均衡器、内容缓存服务器及 Web 服务器。本方案将其用作 Web 服务器。此模式将其用作 Web 服务器。

  • OpenSSL 是一个开源库,提供各类服务供 TLS 和 CMS 的 OpenSSL 实现使用。

代码存储库

此模式的代码可在 Amazon-ECS 存储库中的 GitHub mtls with-Application-Load-Balancer-Amazon- ECS 存储库中找到。

最佳实践

  • 使用 Amazon ECS Exec 在 Fargate 上运行的容器中运行命令或获取 Shell。您还可以使用 ECS Exec 来帮助收集用于调试的诊断信息。

  • 使用安全组和网络访问控制列表 (ACLs) 来控制服务之间的入站和出站流量。Fargate 任务会从您的虚拟私有云(VPC)中配置的子网接收一个 IP 地址。

操作说明

Task说明所需技能

下载源代码。

要下载此模式的源代码,请复刻或克隆 GitHub MTLS with-Amazon- ECS 存储库中的应用程序负载平衡器。

DevOps 工程师

创建 Git 存储库。

要创建包含 Dockerfile 和 buildspec.yaml 文件的 Git 存储库,请使用以下步骤:

  1. 在虚拟环境中创建文件夹。用您的项目名称命名它。

  2. 在本地机器上打开终端,导航到此文件夹。

  3. 要将 mTLS-with-Application-Load-Balancer-in-Amazon-ECS 存储库克隆到您的项目目录,请输入以下命令:

git clone https://github.com/aws-samples/mTLS-with-Application-Load-Balancer-in-Amazon-ECS.git

DevOps 工程师
Task说明所需技能

在中创建私有 CA AWS 私有 CA。

要创建私有证书颁发机构(CA),请在终端中运行以下命令。将示例变量中的值替换为您自己的值。

export AWS_DEFAULT_REGION="us-west-2"
export SERVICES_DOMAIN="www.example.com"

export ROOT_CA_ARN=`aws acm-pca create-certificate-authority \
    --certificate-authority-type ROOT \
    --certificate-authority-configuration \
    "KeyAlgorithm=RSA_2048,
    SigningAlgorithm=SHA256WITHRSA,
    Subject={
        Country=US,
        State=WA,
        Locality=Seattle,
        Organization=Build on AWS,
        OrganizationalUnit=mTLS Amazon ECS and ALB Example,
        CommonName=${SERVICES_DOMAIN}}" \
        --query CertificateAuthorityArn --output text`

有关更多详细信息,请参阅 AWS 文档AWS 私有 CA中的创建私有 CA

DevOps 工程师,AWS DevOps

创建并安装私有 CA 证书。

要为私有根 CA 创建并安装证书,请在终端中运行以下命令:

  1. 生成证书签名请求(CSR)。

    ROOT_CA_CSR=`aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Csr --output text`

  2. 颁发根证书。

    AWS_CLI_VERSION=$(aws --version 2>&1 | cut -d/ -f2 | cut -d. -f1)
[[ ${AWS_CLI_VERSION} -gt 1 ]] && ROOT_CA_CSR="$(echo ${ROOT_CA_CSR} | base64)"

ROOT_CA_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
    --signing-algorithm SHA256WITHRSA \
    --validity Value=10,Type=YEARS \
    --csr "${ROOT_CA_CSR}" \
    --query CertificateArn --output text`

  3. 检索根证书。

    ROOT_CA_CERT=`aws acm-pca get-certificate \
    --certificate-arn ${ROOT_CA_CERT_ARN} \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Certificate --output text`

# store for later use
aws acm-pca get-certificate \
    --certificate-arn ${ROOT_CA_CERT_ARN} \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Certificate --output text > ca-cert.pem

  4. 导入根 CA 证书以将其安装在 CA 上。

    [[ ${AWS_CLI_VERSION} -gt 1 ]] && ROOT_CA_CERT="$(echo ${ROOT_CA_CERT} | base64)"

aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $ROOT_CA_ARN \
    --certificate "${ROOT_CA_CERT}"

    有关更多详细信息,请参阅 AWS 文档中的安装 CA 证书

AWS DevOps, DevOps 工程师

申请托管证书。

要申请私有证书 AWS Certificate Manager 以用于您的私有 ALB,请使用以下命令:

export TLS_CERTIFICATE_ARN=`aws acm request-certificate \
    --domain-name "*.${DOMAIN_DOMAIN}" \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query CertificateArn --output text`
DevOps 工程师,AWS DevOps

使用私有 CA 颁发客户端证书。

  • 要为这两项服务创建证书签名请求 (CSR),请使用以下 AWS CLI 命令:

openssl req -out client_csr1.pem -new -newkey rsa:2048 -nodes -keyout client_private-key1.pem

openssl req -out client_csr2.pem -new -newkey rsa:2048 -nodes -keyout client_private-key2.pem

此命令会返回这两项服务的 CSR 和私钥。

  • 要为这些服务颁发证书,请运行以下命令以使用您创建的私有 CA:

SERVICE_ONE_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --csr fileb://client_csr1.pem \
    --signing-algorithm "SHA256WITHRSA" \
    --validity Value=5,Type="YEARS" --query CertificateArn --output text` 

echo "SERVICE_ONE_CERT_ARN: ${SERVICE_ONE_CERT_ARN}"

aws acm-pca get-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --certificate-arn ${SERVICE_ONE_CERT_ARN} \
     | jq -r '.Certificate' > client_cert1.cert

SERVICE_TWO_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --csr fileb://client_csr2.pem \
    --signing-algorithm "SHA256WITHRSA" \
    --validity Value=5,Type="YEARS" --query CertificateArn --output text` 

echo "SERVICE_TWO_CERT_ARN: ${SERVICE_TWO_CERT_ARN}"

aws acm-pca get-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --certificate-arn ${SERVICE_TWO_CERT_ARN} \
     | jq -r '.Certificate' > client_cert2.cert

有关更多信息,请参阅 AWS 文档中的颁发私有终端实体证书

DevOps 工程师,AWS DevOps
Task说明所需技能

使用 CloudFormation 模板 AWS 服务 进行配置。

要配置虚拟私有云 (VPC)、亚马逊 ECS 集群、亚马逊 ECS 服务、Application Load Balancer 和亚马逊弹性容器注册表 (Amazon ECR) Container Registry,请使用该模板。 CloudFormation

DevOps 工程师

获取变量。

请确认您拥有运行两项服务的 Amazon ECS 集群。要检索资源详细信息并将其存储为变量,请使用以下命令:


export LoadBalancerDNS=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`LoadBalancerDNS`].OutputValue')

export ECRRepositoryUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryUri`].OutputValue')

export ECRRepositoryServiceOneUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceOneUri`].OutputValue')

export ECRRepositoryServiceTwoUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceTwoUri`].OutputValue')

export ClusterName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ClusterName`].OutputValue')

export BucketName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`BucketName`].OutputValue')

export Service1ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`Service1ListenerArn`].OutputValue')

export Service2ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`Service2ListenerArn`].OutputValue')
DevOps 工程师

创建 CodeBuild 项目。

要使用 CodeBuild 项目为您的 Amazon ECS 服务创建 Docker 镜像,请执行以下操作:

  1. 登录 AWS 管理控制台,然后在 https://console.aws.amazon.com/codesuite/codebuild/上打开 CodeBuild 控制台。

  2. 创建一个新项目。对于,选择您创建的 Git 存储库。有关不同类型的 Git 存储库集成的信息,请参阅 AWS 文档中的使用连接

  3. 确认特权模式已启用。若要构建 Docker 映像,必须使用此模式。否则,将无法成功构建映像。

  4. 为每项服务使用共享的自定义 buildspec.yaml 文件。

  5. 提供项目名称和描述的值。

有关更多详细信息,请参阅 AWS 文档AWS CodeBuild中的创建构建项目

AWS DevOps, DevOps 工程师

构建 Docker 映像。

您可以使用 CodeBuild 来执行映像构建过程。 CodeBuild 需要权限才能与 Amazon ECR 交互和使用 Amazon S3。

作为该过程的一部分,将构建 Docker 映像并将其推送至 Amazon ECR 注册表。有关模板和代码的详细信息,请参阅其他信息

(可选)要在本地构建以进行测试,请使用以下命令:

# login to ECR
aws ecr get-login-password | docker login --username AWS --password-stdin $ECRRepositoryUri

# build image for service one
cd /service1
aws s3 cp s3://$BucketName/serviceone/ service1/ --recursive
docker build -t $ECRRepositoryServiceOneUri .
docker push $ECRRepositoryServiceOneUri

# build image for service two
cd ../service2
aws s3 cp s3://$BucketName/servicetwo/ service2/ --recursive
docker build -t $ECRRepositoryServiceTwoUri .
docker push $ECRRepositoryServiceTwoUri
DevOps 工程师
Task说明所需技能

将 CA 证书上传到 Amazon S3。

要将 CA 证书上传到 Amazon S3 存储桶,请使用以下示例命令:

aws s3 cp ca-cert.pem s3://$BucketName/acm-trust-store/

AWS DevOps, DevOps 工程师

创建信任存储。

要创建信任存储,请使用以下示例命令:

TrustStoreArn=`aws elbv2 create-trust-store --name acm-pca-trust-certs \
    --ca-certificates-bundle-s3-bucket $BucketName \
    --ca-certificates-bundle-s3-key acm-trust-store/ca-cert.pem --query 'TrustStores[].TrustStoreArn' --output text`
AWS DevOps, DevOps 工程师

上传客户端证书。

要将客户端证书上传到 Amazon S3 以用于 Docker 映像,请使用以下示例命令:

# for service one
aws s3 cp client_cert1.cert s3://$BucketName/serviceone/
aws s3 cp client_private-key1.pem s3://$BucketName/serviceone/

# for service two
aws s3 cp client_cert2.cert s3://$BucketName/servicetwo/
aws s3 cp client_private-key2.pem s3://$BucketName/servicetwo/
AWS DevOps, DevOps 工程师

修改侦听器。

要在 ALB 上启用双向 TLS,请使用以下命令修改 HTTPS 侦听器:

aws elbv2 modify-listener \
    --listener-arn $Service1ListenerArn \
    --certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \
    --ssl-policy ELBSecurityPolicy-2016-08 \
    --protocol HTTPS \
    --port 8080 \
    --mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false

aws elbv2 modify-listener \
    --listener-arn $Service2ListenerArn \
    --certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \
    --ssl-policy ELBSecurityPolicy-2016-08 \
    --protocol HTTPS \
    --port 8090 \
    --mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false

有关更多信息,请参阅 AWS 文档中的在 App lication Load Balancer 上配置双向 TLS

AWS DevOps, DevOps 工程师
Task说明所需技能

更新 Amazon ECS 任务定义。

要更新 Amazon ECS 任务定义,请修改新修订版中的 image 参数。

要获取相应服务的值,请使用您在前面的步骤中构建的新 Docker 映像 URI 更新任务定义:echo $ECRRepositoryServiceOneUriecho $ECRRepositoryServiceTwoUri


    "containerDefinitions": [
        {
            "name": "nginx",
            "image": "public.ecr.aws/nginx/nginx:latest",   # <----- change to new Uri
            "cpu": 0,

有关更多信息,请参阅 AWS 文档中的使用控制台更新 Amazon ECS 任务定义

AWS DevOps, DevOps 工程师

更新 Amazon ECS 服务。

使用最新的任务定义来更新服务。此任务定义是新构建的 Docker 映像的“蓝图”,包含进行双向 TLS 身份验证所需的客户端证书。

要更新服务,请执行以下步骤:

  1. https://console.aws.amazon.com/ecs/v2 中打开 Amazon ECS 控制台。

  2. Clusters(集群)页面上,选择集群。

  3. 在集群详细信息页面上的服务部分中,选中服务旁边的复选框,然后选择更新

  4. 要让您的服务开始新的部署,请选择 Force new deployment(强制执行新部署)。

  5. 对于任务定义,选择任务定义系列及最新修订版。

  6. 选择更新

对其他服务重复上述步骤。

AWS 管理员、AWS DevOps、 DevOps 工程师
Task说明所需技能

复制应用程序 URL。

使用 Amazon ECS 控制台查看任务。当任务状态更新为正在运行时,选择该任务。在任务部分中,复制任务 ID。

AWS 管理员,AWS DevOps

测试您的应用程序。

要测试您的应用程序,请使用 ECS Exec 访问任务。

  1. 对于服务一,请使用以下命令:

    container="nginx"

ECS_EXEC_TASK_ARN="<TASK ARN>"
aws ecs execute-command --cluster $ClusterName \
    --task $ECS_EXEC_TASK_ARN \
    --container $container \
    --interactive \
    --command "/bin/bash"

  2. 在服务一任务的容器中,使用以下命令输入内部负载均衡器 url 和指向服务二的侦听器端口。然后指定客户端证书的路径以测试应用程序:

    curl -kvs https://<internal-alb-url>:8090 --key /usr/local/share/ca-certificates/client.key --cert /usr/local/share/ca-certificates/client.crt

  3. 在服务二任务的容器中,使用以下命令输入内部负载均衡器 url 和指向服务一的侦听器端口。然后指定客户端证书的路径以测试应用程序:

    curl -kvs https://<internal-alb-url>:8080 --key /usr/local/share/ca-certificates/client.key --cert /usr/local/share/ca-certificates/client.crt
    注意

    curl 命令中的 -k 标志(包含在 -kvs 中)会禁用 SSL 证书验证。当使用与域名匹配的 SSL 证书时,可移除此标志,从而启用正常的证书验证。

AWS 管理员,AWS DevOps

相关资源

Amazon ECS 文档

其他 AWS 资源

附加信息

编辑 Dockerfile

以下代码显示了您在服务 1 的 Dockerfile 中编辑的命令:

FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 1: Ok" > /usr/share/nginx/html/index.html
ADD client_cert1.cert client_private-key1.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/

以下代码显示了您在服务 2 的 Dockerfile 中编辑的命令:

FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 2: Ok" > /usr/share/nginx/html/index.html
ADD client_cert2.cert client_private-key2.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/

如果您使用构建 Docker 镜像 CodeBuild,则该buildspec文件会使用 CodeBuild 内部版本号将镜像版本唯一标识为标签值。您可以根据自身需求更改 buildspec 文件,如下列 buildspec 自定义代码所示:

version: 0.2

phases:
  pre_build:
    commands:
      - echo Logging in to Amazon ECR...
      - aws ecr get-login-password --region $AWS_DEFAULT_REGION | docker login --username AWS --password-stdin $ECR_REPOSITORY_URI
      - COMMIT_HASH=$(echo $CODEBUILD_RESOLVED_SOURCE_VERSION | cut -c 1-7)
      - IMAGE_TAG=${COMMIT_HASH:=latest}
  build:
    commands:
        # change the S3 path depending on the service
      - aws s3 cp s3://$YOUR_S3_BUCKET_NAME/serviceone/ $CodeBuild_SRC_DIR/ --recursive 
      - echo Build started on `date`
      - echo Building the Docker image...
      - docker build -t $ECR_REPOSITORY_URI:latest .
      - docker tag $ECR_REPOSITORY_URI:latest $ECR_REPOSITORY_URI:$IMAGE_TAG
  post_build:
    commands:
      - echo Build completed on `date`
      - echo Pushing the Docker images...
      - docker push $ECR_REPOSITORY_URI:latest
      - docker push $ECR_REPOSITORY_URI:$IMAGE_TAG
      - echo Writing image definitions file...
      # for ECS deployment reference
      - printf '[{"name":"%s","imageUri":"%s"}]' $CONTAINER_NAME $ECR_REPOSITORY_URI:$IMAGE_TAG > imagedefinitions.json   

artifacts:
  files:
    - imagedefinitions.json