Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Trasferisci dati sensibili a un ECS contenitore Amazon
Puoi inviare in sicurezza dati sensibili, come le credenziali di un database, al tuo container.
I segreti, come API le chiavi e le credenziali del database, vengono spesso utilizzati dalle applicazioni per accedere ad altri sistemi. Spesso sono costituiti da un nome utente e una password, un certificato o una API chiave. L'accesso a questi segreti deve essere limitato a IAM principi specifici che vengono utilizzati IAM e iniettati nei contenitori in fase di esecuzione.
I segreti possono essere inseriti senza problemi nei contenitori da AWS Secrets Manager Amazon EC2 Systems Manager Parameter Store. È possibile fare riferimento a questi segreti nell'attività in qualsiasi dei modi seguenti.
-
Come variabili di ambiente che utilizzano il parametro di definizione di container
secrets. -
Come
secretOptionsse la piattaforma per la registrazione di log richiede l'autenticazione. Per ulteriori informazioni, consulta le opzioni di configurazione della registrazione di log. -
Come segreti estratti da immagini che utilizzano il parametro di definizione di container
repositoryCredentialsse il registro da cui viene estratto il container richiede l'autenticazione. Usa questo metodo per estrarre immagini da Amazon ECR Public Gallery. Per ulteriori informazioni, consulta Autenticazione del registro privato per le attività.
Consigliamo di completare la procedura seguente quando configuri la gestione dei segreti.
Usa il AWS Secrets Manager nostro AWS Systems Manager Parameter Store per archiviare materiali segreti
È necessario archiviare in modo sicuro API chiavi, credenziali del database e altro materiale segreto in Secrets Manager o come parametro crittografato in Systems Manager Parameter Store. Questi servizi sono simili perché sono entrambi archivi chiave-valore gestiti che vengono utilizzati AWS KMS per crittografare i dati sensibili. Secrets Manager, tuttavia, include anche la possibilità di ruotare automaticamente i segreti, generare segreti casuali e condividere segreti tra gli account. Se hai queste caratteristiche importanti, usa Secrets Manager, altrimenti usa parametri crittografati.
Importante
Se il segreto cambia, devi forzare una nuova implementazione o avviare una nuova attività per recuperare l'ultimo valore segreto. Per ulteriori informazioni, consulta i seguenti argomenti:
-
Attività: interrompi l'attività, quindi avviala. Per ulteriori informazioni, consulta Interruzione di un'attività Amazon ECS e Esecuzione di un'applicazione come ECS attività Amazon.
-
Servizio: aggiorna il servizio e utilizza l'opzione Force New Deployment. Per ulteriori informazioni, consulta Aggiornamento di un ECS servizio Amazon tramite la console.
Recupera dati da un bucket Amazon S3 crittografato
È necessario archiviare i segreti in un bucket Amazon S3 crittografato e utilizzare i ruoli delle attività per limitare l'accesso a tali segreti. In questo modo si evita che i valori delle variabili di ambiente vengano inavvertitamente pubblicati nei log e vengano rivelati durante l'esecuzione. docker inspect Quando esegui questa operazione, l'applicazione deve essere scritta in modo tale da leggere il segreto dal bucket Amazon S3. Per ricevere istruzioni, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.
Montaggio del segreto in un volume con un container sidecar
Poiché esiste un rischio elevato di perdita di dati a causa delle variabili di ambiente, è consigliabile utilizzare un contenitore secondario che legga i segreti AWS Secrets Manager e li scriva su un volume condiviso. Questo contenitore può essere eseguito e chiuso prima del contenitore dell'applicazione utilizzando Amazon ECS Container Ordering. Quando esegui questa operazione, il container dell'applicazione monta successivamente il volume in cui il segreto è stato scritto. Analogamente al metodo bucket Amazon S3, l'applicazione deve essere scritta per leggere il segreto dal volume condiviso. Poiché il suo ambito è limitato all'attività, il volume viene eliminato in automatico dopo l'interruzione dell'attività. Per un esempio di contenitore sidecar, consulta il aws-secret-sidecar-injector
Su AmazonEC2, il volume su cui è scritto il segreto può essere crittografato con una chiave gestita AWS KMS dal cliente. Attivo AWS Fargate, lo storage di volumi viene crittografato automaticamente utilizzando una chiave gestita dal servizio.
