Menentukan data sensitif menggunakan rahasia Secrets Manager di Amazon ECS - Amazon Elastic Container Service
PrasyaratLangkah 1: Buat rahasia Secrets ManagerLangkah 2: Tambahkan izin rahasia ke peran eksekusi tugasLangkah 3: Membuat sebuah penetapan tugasLangkah 4: Buat klasterLangkah 5: Jalankan tugasLangkah 6: VerifikasiLangkah 7: Bersihkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menentukan data sensitif menggunakan rahasia Secrets Manager di Amazon ECS

Amazon ECS memungkinkan Anda untuk memasukkan data sensitif ke dalam kontainer dengan menyimpan data sensitif secara AWS Secrets Manager rahasia, lalu mereferensikannya dalam ketentuan kontainer Anda. Untuk informasi selengkapnya, lihat Meneruskan data sensitif ke ECS wadah Amazon.

Pelajari cara membuat rahasia Secrets Manager, mereferensikan rahasia dalam ECS ketentuan tugas Amazon, lalu verifikasi bahwa itu bekerja dengan kueri variabel lingkungan di dalam kontainer yang menunjukkan isi dari rahasia.

Prasyarat

Jika mengikuti tutorial ini, berarti prasyarat berikut telah selesai:

Langkah 1: Buat rahasia Secrets Manager

Anda dapat menggunakan konsol Secrets Manager untuk membuat rahasia untuk data sensitif Anda. Dalam tutorial ini kita akan menciptakan rahasia dasar untuk menyimpan nama pengguna dan kata sandi untuk mereferensi nanti dalam sebuah kontainer. Untuk informasi selengkapnya, lihat Membuat AWS Secrets Manager rahasia di Panduan AWS Secrets Manager Pengguna.

Pasangan kunci/nilai yang disimpan dalam rahasia ini adalah nilai variabel lingkungan dalam kontainer Anda pada akhir tutorial.

Simpan Rahasia ARN untuk mereferensikan IAM kebijakan eksekusi tugas dan ketentuan tugas Anda di langkah-langkah selanjutnya.

Langkah 2: Tambahkan izin rahasia ke peran eksekusi tugas

ECSAgar Amazon dapat mengambil data sensitif dari rahasia Secrets Manager Anda, Anda harus memiliki izin rahasia untuk peran eksekusi tugas. Untuk informasi selengkapnya, lihat Izin Secrets Manager atau Systems Manager.

Langkah 3: Membuat sebuah penetapan tugas

Anda dapat menggunakan ECS konsol Amazon untuk membuat ketentuan tugas yang mereferensikan rahasia Secrets Manager.

Untuk membuat ketentuan tugas yang menetapkan rahasia

Gunakan IAM konsol untuk memperbarui peran eksekusi tugas Anda dengan izin yang diperlukan.

  1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  2. Di panel navigasi, pilih Ketentuan tugas.

  3. Pilih Buat definisi tugas baru, Buat definisi tugas baru dengan JSON.

  4. Pada kotak JSON editor, masukkan JSON teks ketentuan tugas berikut, pastikan bahwa Anda menentukan rahasia Secrets Manager yang Anda buat pada langkah 1 dan peran eksekusi tugas yang Anda perbarui pada langkah 2. ARN Pilih Simpan.

  5. {
    "executionRoleArn": "arn:aws:iam::aws_account_id:role/ecsTaskExecutionRole",
    "containerDefinitions": [
        {
            "entryPoint": [
                "sh",
                "-c"
            ],
            "portMappings": [
                {
                    "hostPort": 80,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": [
                "/bin/sh -c \"echo '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>Congratulations!</h2> <p>Your application is now running on a container in Amazon ECS.</p> </div></body></html>' >  /usr/local/apache2/htdocs/index.html && httpd-foreground\""
            ],
            "cpu": 10,
            "secrets": [
                {
                    "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:username_value",
                    "name": "username_value"
                }
            ],
            "memory": 300,
            "image": "httpd:2.4",
            "essential": true,
            "name": "ecs-secrets-container"
        }
    ],
    "family": "ecs-secrets-tutorial"
}

  6. Pilih Buat.

Langkah 4: Buat klaster

Anda dapat menggunakan ECS konsol Amazon untuk membuat klaster yang berisi instans kontainer untuk menjalankan tugas. Jika Anda memiliki klaster yang ada dengan setidaknya satu instans kontainer yang terdaftar untuk itu dengan sumber daya yang tersedia untuk menjalankan satu instans dari ketentuan tugas yang dibuat untuk tutorial ini Anda dapat melompat ke langkah berikutnya.

Untuk tutorial ini kita akan membuat cluster dengan satu instance t2.micro container menggunakan Amazon ECS -optimized Amazon Linux 2AMI.

Untuk informasi tentang cara membuat klaster untuk jenis EC2 peluncuran, lihatMembuat ECS cluster Amazon untuk jenis EC2 peluncuran Amazon.

Langkah 5: Jalankan tugas

Anda dapat menggunakan ECS konsol Amazon untuk menjalankan tugas menggunakan ketentuan tugas yang Anda buat. Untuk tutorial ini kita akan menjalankan tugas menggunakan tipe EC2 peluncuran, menggunakan klaster yang kita buat pada langkah sebelumnya.

Untuk informasi tentang cara menjalankan tugas, lihatMenjalankan aplikasi sebagai ECS tugas Amazon.

Langkah 6: Verifikasi

Anda dapat memverifikasi bahwa semua langkah berhasil diselesaikan dan variabel lingkungan dibuat dengan benar dalam kontainer Anda menggunakan langkah-langkah berikut.

Untuk memverifikasi bahwa variabel lingkungan telah dibuat

  1. Temukan DNS alamat IP publik atau untuk instans kontainer Anda.

    1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

    2. Di panel navigasi, pilih Klaster, lalu pilih klaster yang Anda buat.

    3. Pilih Infrastruktur, lalu pilih instance container.

    4. Rekam IP Publik atau Publik DNS untuk instans Anda.

  2. Jika Anda menggunakan komputer macOS atau Linux, sambungkan ke instans Anda dengan perintah berikut, ganti jalur ke kunci pribadi dan alamat publik untuk instans Anda:

    $ ssh -i /path/to/my-key-pair.pem ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com

    Untuk informasi selengkapnya tentang menggunakan komputer Windows, lihat Connect ke instans Linux menggunakan Pu TTY di Panduan EC2 Pengguna Amazon.

    penting

    Untuk informasi selengkapnya tentang masalah apa pun saat menyambung ke instans, lihat Memecahkan Masalah Menyambung ke Instans Anda di EC2Panduan Pengguna Amazon.

  3. Cantumkan kontainer yang berjalan pada instans. Catat ID kontainer untuk kontainer ecs-secrets-tutorial.

    docker ps

  4. Terhubung ke kontainer ecs-secrets-tutorial menggunakan ID kontainer dari output dari langkah sebelumnya.

    docker exec -it container_ID /bin/bash

  5. Gunakan perintah echo untuk mencetak nilai variabel lingkungan.

    echo $username_value

    Jika tutorial berhasil, Anda akan melihat output sebagai berikut:

    password_value
    catatan

    Atau, Anda dapat mencantumkan semua variabel lingkungan dalam wadah Anda menggunakan perintah env (atau printenv).

Langkah 7: Bersihkan

Setelah selesai dengan tutorial ini, Anda harus membersihkan sumber daya yang terkait untuk menghindari timbulnya biaya untuk sumber daya yang tidak terpakai.

Untuk membersihkan sumber daya

  1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  2. Pada panel navigasi, silakan pilih Klaster.

  3. Pada halaman Clusters, pilih cluster.

  4. Pilih Hapus klaster.

  5. Dalam kotak konfirmasi, masukkan hapus cluster name, dan kemudian pilih Hapus.

  6. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  7. Di panel navigasi, pilih Peran.

  8. Cari daftar peran untuk ecsTaskExecutionRole dan pilih peran itu.

  9. Pilih Izin, lalu pilih X di ECSSecretsTutorialsebelahnya. Pilih Hapus.

  10. Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/.

  11. Pilih rahasia username_value yang Anda buat dan pilih Tindakan, Hapus rahasia.