本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理對Windows任務使用者秘密的存取
<a name="manage-access-windows-secrets"></a>

當您使用 Windows 設定佇列時`jobRunAsUser`，您必須指定 AWS Secrets Manager 秘密。此秘密的值預期為格式的 JSON 編碼物件：

```
{
    "password": "JOB_USER_PASSWORD"
}
```

若要讓工作者以佇列設定的 身分執行任務`jobRunAsUser`，機群的 IAM 角色必須具有取得秘密值的許可。如果秘密是使用客戶管理的 KMS 金鑰加密，則機群的 IAM 角色也必須具有使用 KMS 金鑰解密的許可。

強烈建議您遵循這些秘密的最低權限原則。這表示擷取佇列 → `jobRunAsUser` → `windows` 之秘密值的存取權`passwordArn`應為：
+ 在機群和佇列之間建立佇列機群關聯時，授予機群角色
+ 在機群和佇列之間刪除佇列機群關聯時，從機群角色撤銷

此外，在不再使用密碼時，應刪除包含`jobRunAsUser`密碼的 AWS Secrets Manager 秘密。

## 授予存取密碼秘密的權限
<a name="grant-access"></a>

當佇列和機群相關聯時，截止日期雲端機群需要存取`jobRunAsUser`存放在佇列密碼秘密中的密碼。建議使用 AWS Secrets Manager 資源政策來授予機群角色的存取權。如果您嚴格遵守此準則，更容易判斷哪些機群角色可存取秘密。

**授予對秘密的存取權**

1. 開啟 AWS Secret Manager 主控台以存取秘密。

1. 在資源許可區段中，新增表單的政策陳述式：

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement" : [
       {
         "Effect" : "Allow",
         "Principal" : {
           "AWS" : "arn:aws:iam::{{111122223333}}:role/FleetRole"
         },
         "Action": [
           "secretsmanager:GetSecretValue"
         ],
         "Resource" : "arn:aws:secretsmanager:us-east-1:{{111122223333}}:secret:YourSecretName-ABC123"
       }
     ]
   }
   ```

------

## 撤銷對密碼秘密的存取
<a name="revoke-access"></a>

當機群不再需要存取佇列時，請移除對佇列 密碼秘密的存取`jobRunAsUser`。建議使用 AWS Secrets Manager 資源政策來授予機群角色的存取權。如果您嚴格遵守此準則，更容易判斷哪些機群角色可存取秘密。

**撤銷對秘密的存取**

1. 開啟 AWS Secret Manager 主控台以存取秘密。

1. 在資源許可區段中，移除表單的政策陳述式：

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement" : [
       {
         "Effect" : "Allow",
         "Principal" : {
           "AWS" : "arn:aws:iam::{{111122223333}}:role/FleetRole"
         },
         "Action" : [
           "secretsmanager:GetSecretValue"
         ],
         "Resource" : "arn:aws:secretsmanager:us-east-1:{{111122223333}}:secret:YourSecretName-ABC123"
       }
     ]
   }
   ```

------