本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon ECS 中以程式設計方式傳遞 Systems Manager Parameter Store 秘密
Systems Manager Parameter Store 提供安全的秘密儲存和管理。您可以將密碼、資料庫字串、EC2 執行個體 ID、AMI ID、授權碼等資料作為參數值儲存,不必在應用程式中硬編碼此類資訊。您存放的值可以是純文字或加密資料。
建議使用這種方法擷取敏感資料,因為使用這種方法後,隨後如果 Systems Manager Parameter Store 參數有更新,應用程式會自動擷取最新版本。
在保護 Systems Manager Parameter Store 中的敏感資料之前,請先檢閱以下考量事項。
-
僅支援儲存文字資料的秘密。不支援儲存二進位資料的秘密。
-
使用介面 VPC 端點來增強安全控制。
-
任務所使用的 VPC 必須使用 DNS 解析。
-
對於使用 EC2 的任務,您必須使用 Amazon ECS 代理程式組態變數
ECS_ENABLE_AWSLOGS_EXECUTIONROLE_OVERRIDE=true,才能使用此功能。您可以在建立容器執行個體期間將其新增至/etc/ecs/ecs.config檔案,也可以將其新增至現有的執行個體,然後重新啟動 ECS 代理程式。如需詳細資訊,請參閱Amazon ECS 容器代理程式組態。 -
任務定義必須使用具備 Systems Manager Parameter Store 額外許可的任務角色。如需詳細資訊,請參閱Amazon ECS 任務 IAM 角色。
建立參數
您可以使用 Systems Manager 主控台為您的敏感資料建立 Systems Manager Parameter Store 參數。如需詳細資訊,請參閱《AWS Systems Manager 使用者指南》中的建立 Systems Manager 參數 (主控台) 或建立 Systems Manager 參數 (AWS CLI)。
更新應用程式,以程式設計方式擷取 Systems Manager Parameter Store 秘密
若要擷取儲存在 Systems Manager 參數存放區參數中的敏感資料,請參閱 SDK 程式碼範例程式碼庫中的使用 AWS SDKs的 Systems Manager 程式碼範例。 AWS
