Angeben vertraulicher Daten mithilfe von Secrets-Manager-Secrets in Amazon ECS - Amazon Elastic Container Service
VoraussetzungenSchritt 1: Erstellen eines Secrets Manager-SecretsSchritt 2: Fügen Sie die Secrets-Berechtigungen zur Aufgabenausführungsrolle hinzuSchritt 3: Erstellen einer AufgabendefinitionSchritt 4: Erstellen eines ClustersSchritt 5: Ausführen einer AufgabeSchritt 6: ÜberprüfenSchritt 7: Bereinigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Angeben vertraulicher Daten mithilfe von Secrets-Manager-Secrets in Amazon ECS

Amazon ECS ermöglicht es Ihnen, sensible Daten in Ihre Container einzubringen, indem Sie Ihre sensiblen Daten in AWS Secrets Manager -Secrets speichern und dann in Ihrer Containerdefinition auf sie verweisen. Weitere Informationen finden Sie unter Übergeben Sie sensible Daten an einen ECS Amazon-Container.

Erfahren Sie, wie Sie ein Secrets Manager-Secret erstellen, in einer ECS Amazon-Aufgabendefinition auf das Secret verweisen und es dann überprüfen, indem Sie die Umgebungsvariable in einem Container abfragen, der den Inhalt des Secrets anzeigt.

Voraussetzungen

In diesem Tutorial wird davon ausgegangen, dass die folgenden Voraussetzungen erfüllt wurden:

Schritt 1: Erstellen eines Secrets Manager-Secrets

Sie können die Secrets Manager-Konsole verwenden, um ein Secret für Ihre sensiblen Daten zu erstellen. In diesem Tutorial erstellen wir ein grundlegendes Secret zum Speichern eines Benutzernamens und eines Passworts zum späteren Verweisen in einem Container. Weitere Informationen finden Sie unter Create an AWS Secrets Manager Secret im AWS Secrets Manager Benutzerhandbuch.

Die key/value pairs to be stored in this secret (Schlüssel/Wertpaare, die in diesem Geheimnis gespeichert werden sollen), stellen den Wert der Umgebungsvariablen in Ihrem Container am Ende des Tutorials dar.

Speichern Sie den Schlüssel ARN, um in späteren Schritten in Ihrer IAM Aufgabenausführung und in der Aufgabendefinition darauf zu verweisen.

Schritt 2: Fügen Sie die Secrets-Berechtigungen zur Aufgabenausführungsrolle hinzu

Damit Amazon ECS sensible Daten aus Ihrem Secrets Manager Manager-Secret abrufen kann, benötigen Sie die geheimen Berechtigungen für die Aufgabenausführungsrolle. Weitere Informationen finden Sie unter Secrets Manager- oder Systems Manager Berechtigungen.

Schritt 3: Erstellen einer Aufgabendefinition

Sie können die ECS Amazon-Konsole verwenden, um eine Aufgabendefinition zu erstellen, die auf ein Secrets Manager Manager-Secret verweist.

So erstellen Sie eine Aufgabendefinition, die ein Secret angibt

Verwenden Sie die IAM Konsole zum Aktualisieren Ihrer Aufgabenausführungsrolle mit den erforderlichen Berechtigungen.

  1. Öffnen Sie die Konsole auf https://console.aws.amazon.com/ecs/Version 2.

  2. Wählen Sie im Navigationsbereich Task definitions (Aufgabendefinitionen) aus.

  3. Wählen Sie Create new task definition (Neue Aufgabendefinition erstellen)JSON.

  4. Geben Sie in das JSON Editorfeld den folgenden JSON Aufgabendefinitionstext ein und stellen Sie sicher, dass Sie den vollständigen ARN Secrets Manager-Secret angeben, den Sie in Schritt 1 erstellt haben, und die Aufgabenausführungsrolle, die Sie in Schritt 2 aktualisiert haben. Wählen Sie Save (Speichern) aus.

  5. {
    "executionRoleArn": "arn:aws:iam::aws_account_id:role/ecsTaskExecutionRole",
    "containerDefinitions": [
        {
            "entryPoint": [
                "sh",
                "-c"
            ],
            "portMappings": [
                {
                    "hostPort": 80,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": [
                "/bin/sh -c \"echo '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>Congratulations!</h2> <p>Your application is now running on a container in Amazon ECS.</p> </div></body></html>' >  /usr/local/apache2/htdocs/index.html && httpd-foreground\""
            ],
            "cpu": 10,
            "secrets": [
                {
                    "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:username_value",
                    "name": "username_value"
                }
            ],
            "memory": 300,
            "image": "httpd:2.4",
            "essential": true,
            "name": "ecs-secrets-container"
        }
    ],
    "family": "ecs-secrets-tutorial"
}

  6. Wählen Sie Create (Erstellen) aus.

Schritt 4: Erstellen eines Clusters

Sie können die ECS Amazon-Konsole verwenden, um einen Cluster zu erstellen, der eine Container-Instance zum Ausführen der Aufgabe enthält. Wenn Sie bereits über einen Cluster mit mindestens einer registrierten Container-Instance und den Ressourcen zum Ausführen einer Instance der für dieses Tutorial erstellten Aufgabendefinition verfügen, können Sie direkt zum nächsten Schritt gehen.

Für dieses Tutorial erstellen wir einen Cluster mit einer t2.micro Container-Instance unter Verwendung des ECS Amazon-optimierten Linux 2. AMI

Informationen zum Erstellen eines Clusters für den EC2 Launchtyp finden Sie unterErstellen eines ECS Amazon-Clusters für den EC2 Amazon-Starttyp.

Schritt 5: Ausführen einer Aufgabe

Sie können die ECS Amazon-Konsole verwenden, um eine Aufgabe mithilfe der Aufgabendefinition auszuführen, die Sie erstellt haben. In diesem Tutorial führen wir eine Aufgabe mit dem EC2 Starttyp aus und verwenden dazu den Cluster, den wir im vorherigen Schritt erstellt haben.

Informationen zum Ausführen einer Aufgabe finden Sie unter Eine Anwendung als ECS Amazon-Aufgabe ausführen.

Schritt 6: Überprüfen

Anhand folgender Schritte können Sie überprüfen, ob alle Schritte erfolgreich abgeschlossen wurden und die Umgebungsvariable in Ihrem Container ordnungsgemäß erstellt wurde.

Überprüfen, ob die Umgebungsvariable erstellt wurde

  1. Finden Sie die öffentliche IP-Adresse oder DNS Adresse für Ihre Container-Instance.

    1. Öffnen Sie die Konsole auf https://console.aws.amazon.com/ecs/Version 2.

    2. Wählen Sie im Navigationsbereich Cluster und dann den von Ihnen erstellten Cluster aus.

    3. Wählen Sie Infrastruktur und dann die Container-Instance aus.

    4. Notieren Sie die öffentliche oder öffentliche IP-Adresse DNS für Ihre Instance.

  2. Stellen Sie auf einem macOS- oder Linux-Computer mit dem folgenden Befehl eine Verbindung mit Ihrer Instance her und ersetzen Sie den Pfad zu Ihrem privaten Schlüssel und die öffentliche Adresse für Ihre Instance:

    $ ssh -i /path/to/my-key-pair.pem ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com

    Weitere Informationen zur Verwendung eines Windows-Computers finden Sie unter Herstellen einer Connect zu Ihrer Linux-Instance mithilfe von Pu TTY im EC2Amazon-Benutzerhandbuch.

    Wichtig

    Weitere Informationen zu Problemen beim Herstellen der Verbindung mit Ihrer Instance finden Sie unter Beheben von Verbindungsproblemen mit Ihrer Instance im EC2Amazon-Benutzerhandbuch.

  3. Erstellen Sie eine Liste der Container, die auf der Instance ausgeführt werden. Notieren Sie die Container-ID für ecs-secrets-tutorial-Container.

    docker ps

  4. Stellen Sie mithilfe der Container-ID aus der Ausgabe des vorherigen Schritts eine Verbindung mit dem ecs-secrets-tutorial-Container her.

    docker exec -it container_ID /bin/bash

  5. Verwenden Sie den echo-Befehl, um den Wert der Umgebungsvariable zu drucken.

    echo $username_value

    Wenn das Tutorial erfolgreich war, sollten Sie die folgende Meldung sehen:

    password_value
    Anmerkung

    Alternativ können Sie alle Umgebungsvariablen in Ihrem Container mithilfe des Befehls env (oder printenv) auflisten.

Schritt 7: Bereinigen

Wenn Sie mit diesem Tutorial fertig sind, sollten Sie die zugehörigen Ressourcen bereinigen, um zu vermeiden, dass Gebühren für ungenutzte Ressourcen anfallen.

So bereinigen Sie die Ressourcen

  1. Öffnen Sie die Konsole auf https://console.aws.amazon.com/ecs/Version 2.

  2. Klicken Sie im Navigationsbereich auf Cluster.

  3. Wählen Sie auf der Cluster-Seite den Cluster aus.

  4. Wählen Sie Delete Cluster (Cluster löschen) aus.

  5. Geben Sie im Bestätigungsfeld Delete ein cluster name, und wählen Sie dann Löschen.

  6. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  7. Wählen Sie im Navigationsbereich Rollen aus.

  8. Durchsuchen Sie die Liste der Rollen für ecsTaskExecutionRole und wählen Sie diese aus.

  9. Wählen Sie Berechtigungen und anschließend das X neben ECSSecretsTutorial. Wählen Sie Remove (Entfernen) aus.

  10. Öffnen Sie die Secrets-Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

  11. Wählen Sie das von Ihnen erstellte username_value-Secret und Actions (Aktionen), Delete secret (Secret löschen).