本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon ECS 中以程式設計方式傳遞 Secrets Manager 秘密
您可以使用 Secrets Manager 來存放敏感資料,而不是在應用程式中以純文字硬式編碼敏感資訊。
我們建議使用這種方法擷取敏感資料,因為使用這種方法後,隨後如果 Secrets Manager 秘密有更新,應用程式會自動擷取最新版本的秘密。
在 Secrets Manager 中建立秘密。建立 Secret Manager 秘密後,更新應用程式程式碼即可擷取秘密。
保護 Secrets Manager 中的敏感資料之前,請先檢閱下列考量事項。
-
僅支援存放文字資料的秘密,這些秘密是使用 CreateSecret API 的
SecretString參數建立的。不支援存放二進位資料的秘密,這是使用 CreateSecret APISecretBinary參數建立的秘密。 -
使用介面 VPC 端點來增強安全控制。您必須建立 Secrets Manager 的介面 VPC 端點。如需有關 VPC 端點的資訊,請參閱《AWS Secrets Manager 使用者指南》中的建立VPC 端點。
-
任務所使用的 VPC 必須使用 DNS 解析。
-
您的任務定義必須使用具有 Secrets Manager 額外許可的任務角色。如需詳細資訊,請參閱Amazon ECS 任務 IAM 角色。
建立 Secrets Manager 秘密
您可以使用 Secrets Manager 主控台為您的敏感資料建立秘密。如需有關如何建立秘密的詳細資訊,請參閱《AWS Secrets Manager 使用者指南》中的建立 AWS Secrets Manager 秘密。
更新應用程式以程式設計方式擷取 Secrets Manager 秘密
您可以直接從應用程式呼叫 Secrets Manager API 來擷取秘密。如需詳細資訊,請參閱AWS Secrets Manager 《 使用者指南》中的從 擷取秘密 AWS Secrets Manager。
若要擷取存放在 中的敏感資料 AWS Secrets Manager,請參閱 SDK 程式碼範例程式碼庫中的使用 AWS SDKs的 AWS Secrets Manager程式碼範例。 AWS
