Menentukan data sensitif menggunakan Systems Manager Parameter Store - AWS Batch
Pertimbangan untuk menentukan data sensitif menggunakan Systems Manager Parameter StoreIzin IAM yang diperlukan untuk rahasia AWS BatchMenyuntikkan data sensitif sebagai variabel lingkunganMenyuntikkan data sensitif dalam konfigurasi logMembuat AWS Systems Manager parameter Parameter Store

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menentukan data sensitif menggunakan Systems Manager Parameter Store

Dengan AWS Batch, Anda dapat menyuntikkan data sensitif ke dalam wadah Anda dengan menyimpan data sensitif Anda dalam AWS Systems Manager parameter Parameter Store dan kemudian mereferensikannya dalam definisi kontainer Anda.

Pertimbangan untuk menentukan data sensitif menggunakan Systems Manager Parameter Store

Hal-hal berikut harus dipertimbangkan ketika menentukan data sensitif untuk kontainer menggunakan parameter Systems Manager Parameter Store.

  • Fitur ini mengharuskan instance container Anda memiliki versi 1.23.0 atau yang lebih baru dari agen kontainer. Akan tetapi, kami merekomendasikan untuk menggunakan versi agen kontainer terbaru. Untuk informasi tentang memeriksa versi agen Anda dan memperbarui ke versi terbaru, lihat Memperbarui agen kontainer Amazon ECS dalam Panduan Developer Amazon Elastic Container Service.

  • Data sensitif disuntikkan ke dalam kontainer untuk tugas Anda ketika kontainer pertama kali dimulai. Jika rahasia atau parameter Parameter Store kemudian diperbarui atau dirotasi, kontainer tidak menerima nilai yang diperbarui secara otomatis. Anda harus meluncurkan tugas baru untuk memaksa peluncuran tugas baru dengan rahasia yang diperbarui.

Izin IAM yang diperlukan untuk rahasia AWS Batch

Untuk menggunakan fitur ini, Anda harus memiliki peran eksekusi dan mereferensikannya dalam ketentuan tugas Anda. Ini memungkinkan agen kontainer Amazon ECS untuk menarik AWS Systems Manager sumber daya yang diperlukan. Untuk informasi selengkapnya, lihat AWS Batch IAMperan eksekusi.

Untuk memberikan akses ke AWS Systems Manager parameter Parameter Store yang Anda buat, tambahkan izin berikut secara manual sebagai kebijakan inline ke peran eksekusi. Untuk informasi lebih lanjut, lihat Menambahkan dan Menghapus Kebijakan IAM dalam Panduan Pengguna IAM.

  • ssm:GetParameters—Wajib jika Anda mereferensikan parameter Systems Manager Parameter Store dalam ketentuan tugas.

  • secretsmanager:GetSecretValue—Wajib jika Anda mereferensikan rahasia Secrets Manager secara langsung atau jika parameter Systems Manager Parameter Store Anda mereferensikan rahasia Secrets Manager dalam ketentuan tugas.

  • kms:Decrypt—Wajib hanya jika rahasia Anda menggunakan kunci KMS khusus dan bukan kunci default. ARN untuk kunci khusus Anda harus ditambahkan sebagai sumber daya.

Contoh kebijakan inline berikut menambahkan izin yang diperlukan:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters",
        "secretsmanager:GetSecretValue",
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:ssm:<region>:<aws_account_id>:parameter/<parameter_name>",
        "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<secret_name>",
        "arn:aws:kms:<region>:<aws_account_id>:key/<key_id>"
      ]
    }
  ]
}

Menyuntikkan data sensitif sebagai variabel lingkungan

Dalam ketentuan kontainer Anda, tentukan secrets dengan nama variabel lingkungan yang akan ditetapkan dalam kontainer dan ARN lengkap parameter Systems Manager Parameter Store yang berisi data sensitif untuk diberikan ke kontainer.

Berikut ini adalah cuplikan ketentuan tugas yang menunjukkan format ketika mereferensikan parameter Systems Manager Parameter Store. Jika parameter Systems Manager Parameter Store ada di wilayah yang sama dengan tugas yang Anda luncurkan, Anda dapat menggunakan ARN lengkap atau nama parameter. Jika parameter ada di Wilayah yang berbeda, ARN lengkap harus disebutkan.

{
  "containerProperties": [{
    "secrets": [{
      "name": "environment_variable_name",
      "valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name"
    }]
  }]
}

Menyuntikkan data sensitif dalam konfigurasi log

Dalam ketentuan kontainer Anda, ketika menentukan logConfiguration, Anda dapat menentukan secretOptions dengan nama opsi driver log yang kan ditetapkan dalam kontainer dan ARN lengkap parameter Systems Manager Parameter Store yang berisi data sensitif untuk diberikan ke kontainer.

penting

Jika parameter Systems Manager Parameter Store berada di wilayah yang sama dengan tugas yang Anda luncurkan, Anda dapat menggunakan ARN lengkap atau nama parameter. Jika parameter ada di Wilayah yang berbeda, ARN lengkap harus disebutkan.

Berikut ini adalah cuplikan ketentuan tugas yang menunjukkan format ketika mereferensikan parameter Systems Manager Parameter Store.

{
  "containerProperties": [{
    "logConfiguration": [{
      "logDriver": "fluentd",
      "options": {
        "tag": "fluentd demo"
      },
      "secretOptions": [{
        "name": "fluentd-address",
        "valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name"
      }]
    }]
  }]
}

Membuat AWS Systems Manager parameter Parameter Store

Anda dapat menggunakan AWS Systems Manager konsol untuk membuat parameter Systems Manager Parameter Store untuk data sensitif Anda. Untuk informasi lebih lanjut, lihat Panduan: Membuat dan menggunakan Parameter dalam Perintah (konsol) dalam Panduan Pengguna AWS Systems Manager .

Untuk membuat parameter Parameter Store

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Parameter Store, Create parameter (Buat parameter).

  3. Untuk Name (Nama), ketik hierarki dan nama parameter. Sebagai contoh, ketik test/database_password.

  4. Untuk Description (Deskripsi), ketik deskripsi opsional.

  5. Untuk Type, pilih String, StringList, atau SecureString.

    catatan

    • Jika Anda memilih SecureString, bidang ID Kunci KMS akan muncul. Jika Anda tidak memberikan ID kunci KMS, ARN kunci KMS, nama alias, atau alias ARN, maka sistem menggunakan. alias/aws/ssm Ini adalah kunci KMS default untuk Systems Manager. Untuk menghindari penggunaan kunci ini, pilih tombol kustom. Untuk informasi lebih lanjut, lihat Menggunakan Parameter String Aman dalam Panduan Pengguna AWS Systems Manager .

    • Saat Anda membuat parameter string aman di konsol dengan menggunakan key-id parameter dengan nama alias kunci KMS kustom atau alias ARN, Anda harus menentukan awalan sebelum alias. alias/ Berikut ini adalah contoh ARN:

      arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

      Berikut ini adalah contoh nama alias:

      alias/MyAliasName

  6. Untuk Value (Nilai), ketik nilai. Misalnya, MyFirstParameter. Jika Anda memilih SecureString, nilainya ditutupi persis seperti yang Anda masukkan.

  7. Pilih Create parameter (Buat parameter).