Especificación de información confidencial mediante secretos de Secrets Manager en Amazon ECS - Amazon Elastic Container Service

Especificación de información confidencial mediante secretos de Secrets Manager en Amazon ECS

Amazon ECS permite introducir información confidencial en los contenedores, la almacena en secretos de AWS Secrets Manager y, a continuación, la referencia en la definición de contenedor. Para obtener más información, consulte Transferencia de datos confidenciales a un contenedor de Amazon ECS.

Obtenga información sobre cómo crear un secreto de Secrets Manager, hacer referencia al secreto en una definición de tareas de Amazon ECS y, luego, comprobar que funciona al consultar la variable de entorno dentro de un contenedor que muestra el contenido del secreto.

Requisitos previos

En este tutorial se supone que los siguientes requisitos previos se han completado:

  • Se han completado los pasos que se indican en Configuración para utilizar Amazon ECS.

  • El usuario dispone de los permisos de IAM requeridos para crear los recursos de Secrets Manager y Amazon ECS.

Paso 1: Crear un secreto de Secrets Manager

Puede utilizar la consola de Secrets Manager para crear un secreto con su información confidencial. En este tutorial se creará un secreto básico para almacenar un nombre de usuario y una contraseña para referencia futura en un contenedor. Para obtener más información, consulte Creación de un secreto de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.

Los pares clave/valor que se almacenarán en este secreto (key/value pairs to be stored in this secret) son el valor de la variable de entorno en el contenedor al final del tutorial.

Guarde el Secret ARN (ARN del secreto) para hacer referencia en su política de IAM de ejecución de tareas y la definición de tarea en pasos posteriores.

Paso 2: agregue los permisos secretos al rol de ejecución de tareas.

Para que Amazon ECS recupere la información confidencial de su secreto de Secrets Manager, debe contar con los permisos secretos para el rol de ejecución de tareas. Para obtener más información, consulte Permisos de Secrets Manager o Systems Manager.

Paso 3: Cree una definición de tarea

Puede utilizar la consola de Amazon ECS para crear una definición de tareas que haga referencia a un secreto de Secrets Manager.

Para crear una definición de tarea que especifique un secreto

Utilice la consola de IAM para actualizar el rol de ejecución de tareas con los permisos requeridos.

  1. Abra la consola en https://console.aws.amazon.com/ecs/v2.

  2. En el panel de navegación, elija Task Definitions (Definiciones de tareas).

  3. Elija Create new task definition (Crear nueva definición de tarea) y Create new task definition with JSON (Crear nueva definición de tarea con JSON).

  4. En el cuadro del editor JSON, ingrese el siguiente texto JSON de definición de tareas y asegúrese de especificar el ARN completo del secreto de Secrets Manager que creó en el paso 1 y el rol de ejecución de tareas que actualizó en el paso 2. Seleccione Guardar.

  5. { "executionRoleArn": "arn:aws:iam::aws_account_id:role/ecsTaskExecutionRole", "containerDefinitions": [ { "entryPoint": [ "sh", "-c" ], "portMappings": [ { "hostPort": 80, "protocol": "tcp", "containerPort": 80 } ], "command": [ "/bin/sh -c \"echo '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>Congratulations!</h2> <p>Your application is now running on a container in Amazon ECS.</p> </div></body></html>' > /usr/local/apache2/htdocs/index.html && httpd-foreground\"" ], "cpu": 10, "secrets": [ { "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:username_value", "name": "username_value" } ], "memory": 300, "image": "httpd:2.4", "essential": true, "name": "ecs-secrets-container" } ], "family": "ecs-secrets-tutorial" }
  6. Seleccione Crear.

Paso 4: cree un clúster

Puede utilizar la consola de Amazon ECS para crear un clúster que contenga una instancia de contenedor en la que se va a ejecutar la tarea. Si tiene un clúster existente con al menos una instancia de contenedor registrada en ella, con los recursos disponibles para ejecutar una instancia de la definición de tarea creada para este tutorial, puede pasar al siguiente paso.

Para este tutorial, vamos a crear un clúster con una instancia de contenedor t2.micro mediante la AMI de Amazon Linux 2 optimizada para Amazon ECS.

Para obtener información sobre cómo crear un clúster para el tipo de lanzamiento de EC2, consulte Creación de un clúster de Amazon ECS para el tipo de lanzamiento de Amazon EC2.

Paso 5: ejecute una tarea

Puede utilizar la consola de Amazon ECS para ejecutar una tarea mediante la definición de tareas creada. En este tutorial, ejecutaremos una tarea mediante el tipo de lanzamiento de EC2, utilizando el clúster que creamos en el paso anterior.

Para obtener información sobre cómo ejecutar una tarea, consulte Ejecución de una aplicación como tarea de Amazon ECS.

Paso 6: Verificar

Puede verificar que todos los pasos se han completado correctamente y que la variable de entorno se ha creado correctamente en el contenedor con los pasos que se describen a continuación.

Para verificar que se ha creado la variable de entorno
  1. Busque la dirección IP o DNS pública para su instancia de contenedor.

    1. Abra la consola en https://console.aws.amazon.com/ecs/v2.

    2. En el panel de navegación, elija Clústeres y, a continuación, elija el clúster que creó.

    3. Elija Infraestructura y, a continuación, elija la instancia de contenedor.

    4. Registre la IP pública o el DNS público para su instancia.

  2. Si está utilizando un equipo con macOS o Linux, conéctese a la instancia con el siguiente comando, sustituyendo la ruta por su clave privada y la dirección pública para su instancia:

    $ ssh -i /path/to/my-key-pair.pem ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com

    Para obtener más información acerca del uso de una computadora con Windows, consulte Conexión a la instancia de Linux con PuTTY en la Guía del usuario de Amazon EC2.

    importante

    Para obtener más información acerca de los problemas que pueden surgir al conectarse a la instancia, consulte Solucione el problema de conectar la instancia en la Guía del usuario de Amazon EC2.

  3. Obtenga la lista de los contenedores que se ejecutan en la instancia. Anote el ID del contenedor ecs-secrets-tutorial.

    docker ps
  4. Conéctese al contenedor ecs-secrets-tutorial con el ID de contenedor desde la salida del paso anterior.

    docker exec -it container_ID /bin/bash
  5. Utilice el comando echo para imprimir el valor de la variable del entorno.

    echo $username_value

    Si el tutorial no se ha realizado correctamente, debería ver el siguiente resultado:

    password_value
    nota

    Si lo prefiere, puede mostrar todas las variables de entorno en su contenedor con el comando env (o printenv).

Paso 7: limpiar

Cuando termine este tutorial, debe limpiar los recursos asociados para evitar incurrir en cargos generados por recursos sin utilizar.

Para limpiar los recursos.
  1. Abra la consola en https://console.aws.amazon.com/ecs/v2.

  2. En el panel de navegación, seleccione Clusters (Clústeres).

  3. En la página Clusters (Clústeres), elija el clúster.

  4. Elija Delete cluster.

  5. En el cuadro de confirmación, ingrese Eliminar cluster-name y, a continuación, elija Eliminar.

  6. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  7. Seleccione Roles en el panel de navegación.

  8. En la lista de roles, busque ecsTaskExecutionRole y selecciónelo.

  9. Elija Permisos y, a continuación, elija la X junto a ECSSecretsTutorial. Elija Eliminar.

  10. Abra la consola de Secrets Manager enhttps://console.aws.amazon.com/secretsmanager/.

  11. Seleccione el secreto username_value creado y elija Actions (Acciones), Delete secret (Eliminar secreto).