Transférer des données sensibles vers un ECS conteneur Amazon - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Transférer des données sensibles vers un ECS conteneur Amazon

Vous pouvez transmettre en toute sécurité des données sensibles, telles que des informations d'identification vers une base de données, dans votre conteneur.

Les secrets, tels que API les clés et les informations d'identification de base de données, sont fréquemment utilisés par les applications pour accéder à d'autres systèmes. Ils se composent souvent d'un nom d'utilisateur et d'un mot de passe, d'un certificat ou d'une API clé. L'accès à ces secrets doit être limité à des IAM principes spécifiques utilisés IAM et injectés dans des conteneurs lors de l'exécution.

Les secrets peuvent être injectés facilement dans des conteneurs depuis AWS Secrets Manager Amazon EC2 Systems Manager Parameter Store. Ces secrets peuvent être référencés dans votre tâche de l'une des manières suivantes.

  1. Ils sont référencés en tant que variables d'environnement qui utilisent le paramètre de définition du conteneur secrets.

  2. Ils sont référencés comme secretOptions si votre plateforme de journalisation nécessite une authentification. Pour plus d'informations, veuillez consulter Options de configuration de la journalisation (langue française non garantie).

  3. Ils sont référencés comme des secrets extraits par des images qui utilisent le paramètre de définition de conteneur repositoryCredentials si le registre d'où le conteneur est extrait nécessite une authentification. Utilisez cette méthode lorsque vous extrayez des images depuis Amazon ECR Public Gallery. Pour plus d'informations, veuillez consulter Authentification de registre privé pour les tâches (langue française non garantie).

Nous vous recommandons d'effectuer les opérations suivantes lorsque vous configurez la gestion des secrets.

Utiliser AWS Secrets Manager ou AWS Systems Manager Parameter Store pour stocker des documents secrets

Vous devez stocker en toute sécurité API les clés, les informations d'identification de base de données et les autres éléments secrets dans Secrets Manager ou sous forme de paramètre chiffré dans le magasin de paramètres de Systems Manager. Ces services sont similaires car il s'agit tous deux de magasins de valeurs clés gérés utilisés AWS KMS pour chiffrer des données sensibles. Cependant, Secrets Manager inclut également la possibilité de faire pivoter automatiquement les secrets, de générer des secrets aléatoires et de partager des secrets entre les comptes. Si ces fonctionnalités sont importantes, utilisez Secrets Manager, sinon utilisez des paramètres chiffrés.

Important

Si votre secret change, vous devez forcer un nouveau déploiement ou lancer une nouvelle tâche pour récupérer la dernière valeur secrète. Pour plus d’informations, consultez les rubriques suivantes :

Extraire les données d'un compartiment Amazon S3 chiffré

Vous devez stocker les secrets dans un compartiment Amazon S3 chiffré et utiliser des rôles de tâches pour restreindre l'accès à ces secrets. Cela empêche les valeurs des variables d'environnement de s'échapper par inadvertance dans les journaux et d'être révélées lors de l'exécution. docker inspect Dans ce cas, votre application doit être écrite pour lire le secret du compartiment Amazon S3. Pour obtenir des instructions, veuillez consulter Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

Montez le secret sur un volume à l'aide d'un conteneur sidecar

Comme le risque de fuite de données lié aux variables d'environnement est élevé, vous devez utiliser un conteneur annexe qui lit vos secrets AWS Secrets Manager et les écrit sur un volume partagé. Ce conteneur peut s'exécuter et sortir avant le conteneur d'applications à l'aide de la commande de ECS conteneurs Amazon. Ainsi, le conteneur de l'application monte ensuite le volume dans lequel le secret a été écrit. À l'instar de la méthode du compartiment Amazon S3, votre application doit être écrite pour lire le secret du volume partagé. Le volume étant limité à la tâche, il est automatiquement supprimé après l'arrêt de la tâche. Pour un exemple de conteneur sidecar, consultez le aws-secret-sidecar-injectorprojet.

Sur AmazonEC2, le volume sur lequel le secret est écrit peut être chiffré à l'aide d'une clé gérée par AWS KMS le client. Activé AWS Fargate, le stockage en volume est automatiquement chiffré à l'aide d'une clé gérée par le service.