Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di AWS Fornitore di credenziali per il carico di lavoro
In che modo AWS Workload Credentials Provider funziona
Il AWS Workload Credentials Provider (precedentemente noto come AWS Secrets Manager Agent) fornisce un servizio HTTP lato client che consente di standardizzare il modo in cui si utilizzano i segreti di Secrets Manager negli ambienti di elaborazione. È possibile utilizzarlo con i seguenti servizi:
-
AWS Lambda
-
Amazon Elastic Container Service
-
Amazon Elastic Kubernetes Service
-
Amazon Elastic Compute Cloud
Il AWS Workload Credentials Provider recupera e memorizza nella cache i segreti in memoria, permettendo alle applicazioni di ottenere informazioni segrete da localhost anziché effettuare chiamate dirette a Secrets Manager. Il AWS Workload Credentials Provider può solo leggere i segreti, non può modificarli.
Il AWS Workload Credentials Provider è open source. Il codice sorgente, le istruzioni di installazione e le informazioni sulla versione più recente sono disponibili su. GitHub
Importante
Il AWS Workload Credentials Provider utilizza le AWS credenziali dell'ambiente per chiamare Secrets Manager. Include la protezione contro Server Side Request Forgery (SSRF) per contribuire a migliorare la sicurezza segreta. Per impostazione predefinita, il AWS Workload Credentials Provider utilizza lo scambio di chiavi post-quantum come scambio di ML-KEM chiavi con la massima priorità.
Comprensione AWS Memorizzazione nella cache di Workload Credentials Provider
Il AWS Workload Credentials Provider utilizza una cache in memoria che si reimposta al riavvio del Workload Credentials Provider.AWS Aggiorna periodicamente i valori segreti memorizzati nella cache in base a quanto segue:
-
La frequenza di aggiornamento predefinita (TTL) è 300 secondi
-
È possibile modificare il TTL utilizzando un file di configurazione
-
L'aggiornamento avviene quando si richiede un segreto dopo la scadenza del TTL
Nota
Il AWS Workload Credentials Provider non include l'invalidazione della cache. Se un segreto ruota prima della scadenza della voce della cache, il AWS Workload Credentials Provider potrebbe restituire un valore segreto obsoleto.
Il AWS Workload Credentials Provider restituisce valori segreti nello stesso formato della risposta di. GetSecretValue I valori segreti non sono crittografati nella cache.
Argomenti
Costruisci il AWS Fornitore di credenziali per il carico di lavoro
Installa il AWS Fornitore di credenziali per il carico di lavoro
Recupera i segreti con AWS Fornitore di credenziali per il carico di lavoro
Recupera i segreti tra gli account con il concatenamento dei ruoli
Configurare il AWS Fornitore di credenziali per il carico di lavoro
Costruisci il AWS Fornitore di credenziali per il carico di lavoro
Prima di iniziare, assicurati di aver installato gli strumenti di sviluppo standard e gli strumenti Rust per la tua piattaforma.
Nota
La creazione del provider con la fips funzionalità abilitata su macOS richiede attualmente la seguente soluzione alternativa:
-
Crea una variabile di ambiente chiamata
SDKROOTche è impostata sul risultato dell'esecuzionexcrun --show-sdk-path
Installa il AWS Fornitore di credenziali per il carico di lavoro
Scegli il tuo ambiente di elaborazione tra le seguenti opzioni di installazione.
Recupera i segreti con AWS Fornitore di credenziali per il carico di lavoro
Per recuperare un segreto, chiama l'endpoint locale del AWS Workload Credentials Provider con il nome segreto o l'ARN come parametro di query. Per impostazione predefinita, il AWS Workload Credentials Provider recupera la versione del segreto. AWSCURRENT Per recuperare una versione diversa, utilizzare il parametro VersionStage o VersionID.
Importante
Per proteggere il AWS Workload Credentials Provider, è necessario includere un'intestazione del token SSRF come parte di ogni richiesta:. X-Aws-Parameters-Secrets-Token Il AWS Workload Credentials Provider rifiuta le richieste che non hanno questa intestazione o che hanno un token SSRF non valido. È possibile personalizzare il nome dell'intestazione SSRF in. Configurare il AWS Fornitore di credenziali per il carico di lavoro
Autorizzazioni richieste
Il AWS Workload Credentials Provider utilizza l'AWS SDK per Rust, che utilizza la catena di fornitori di credenziali.AWS L'identità di queste credenziali IAM determina le autorizzazioni di cui dispone il AWS Workload Credentials Provider per recuperare i segreti.
-
secretsmanager:DescribeSecret -
secretsmanager:GetSecretValue
Per ulteriori informazioni sulle autorizzazioni, consultare Riferimento alle autorizzazioni per AWS Secrets Manager.
Importante
Dopo aver inserito il valore segreto nel AWS Workload Credentials Provider, qualsiasi utente con accesso all'ambiente di calcolo e al token SSRF può accedere al segreto dalla cache del Workload Credentials Provider.AWS Per ulteriori informazioni, consulta Considerazioni relative alla sicurezza.
Richieste di esempio
Informazioni sul parametro RefreshNow
Il AWS Workload Credentials Provider utilizza una cache in memoria per archiviare i valori segreti, che aggiorna periodicamente. Per impostazione predefinita, questo aggiornamento si verifica quando si richiede un segreto dopo la scadenza del Time to Live (TTL), in genere ogni 300 secondi. Tuttavia, questo approccio a volte può portare a valori segreti obsoleti, specialmente se un segreto ruota prima della scadenza della voce della cache.
Per ovviare a questa limitazione, il AWS Workload Credentials Provider supporta un parametro chiamato nell'URL. refreshNow È possibile utilizzare questo parametro per forzare l'aggiornamento immediato del valore di un segreto, aggirando la cache e assicurandosi di disporre delle informazioni più aggiornate.
- Comportamento predefinito (senza)
refreshNow -
-
Utilizza i valori memorizzati nella cache fino alla scadenza del TTL
-
Aggiorna i segreti solo dopo TTL (impostazione predefinita: 300 secondi)
-
Può restituire valori obsoleti se i segreti ruotano prima della scadenza della cache
-
- Comportamento con
refreshNow=true -
-
Ignora completamente la cache
-
Recupera l'ultimo valore segreto direttamente da Secrets Manager
-
Aggiorna la cache con il nuovo valore e reimposta il TTL
-
Ti assicura di ottenere sempre il valore segreto più recente
-
Force-refresh un valore segreto
Importante
Il valore predefinito di refreshNow è false. Se impostato sutrue, sovrascrive il TTL specificato nel file di configurazione AWS Workload Credentials Provider ed effettua una chiamata API a Secrets Manager.
Recupera i segreti tra gli account con il concatenamento dei ruoli
Il concatenamento dei ruoli consente al AWS Workload Credentials Provider di recuperare segreti da altri account assumendo ruoli IAM utilizzando.AWSAWS STSAssumeRole Il AWS Workload Credentials Provider crea e memorizza nella cache un client di caching separato per ogni ruolo ARN univoco. Ogni client di ruolo mantiene la propria cache indipendente, quindi lo stesso segreto recuperato con ruoli diversi ha voci di cache separate.
Autorizzazioni richieste
Per utilizzare il concatenamento dei ruoli, è necessario quanto segue:
-
Le credenziali di ambiente del AWS Workload Credentials Provider devono disporre dell'
sts:AssumeRoleautorizzazione per l'ARN del ruolo di destinazione. -
Il ruolo di destinazione deve disporre delle autorizzazioni
secretsmanager:GetSecretValueesecretsmanager:DescribeSecretdelle autorizzazioni per i segreti a cui desideri accedere. -
La politica di fiducia del ruolo di destinazione deve consentire all'identità del AWS Workload Credentials Provider di assumerla.
Recupera i segreti tra account
Includi il parametro di roleArn query nella richiesta al AWS Workload Credentials Provider per specificare il ruolo da assumere per il recupero segreto.
Configurazione e limiti del concatenamento dei ruoli
Configura il concatenamento dei ruoli con l'max_rolesopzione nel tuo file di configurazione TOML. Questo imposta il numero massimo di ruoli assunti simultaneamente, nell'intervallo da 1 a 20. Il valore di default è 20.
Importante
I ruoli presunti non vengono rimossi dalla cache dei ruoli del AWS Workload Credentials Provider. Una volta raggiunto il numero massimo di ruoli, le richieste con nuovi ARN di ruolo vengono rifiutate con un 400 errore fino al riavvio del AWS Workload Credentials Provider.
Risposte di errore per il concatenamento dei ruoli
400-
Il
roleArnformato non è valido o è stato raggiunto il numero massimo di ruoli assunti. 403-
La chiamata AWS STS
AssumeRolenon è riuscita. Verifica che la politica di fiducia del ruolo di destinazione consenta all'identità del AWS Workload Credentials Provider di assumerla.
Pre-fetch segreti all'avvio
Per impostazione predefinita, il AWS Workload Credentials Provider recupera i segreti su richiesta quando l'applicazione li richiede. Con il prefetching, il AWS Workload Credentials Provider carica i segreti specifici nella cache all'avvio, in modo che l'applicazione possa accedervi immediatamente senza attendere la prima chiamata API. Pre-fetching viene eseguito come attività in background: il AWS Workload Credentials Provider inizia ad accettare le richieste immediatamente e non si blocca al completamento del pre-fetch.
È possibile specificare i segreti da recuperare in anticipo in due modi:
-
Segreti espliciti: elenca ID o ARN segreti specifici.
-
Tag-based scoperta: scopri i segreti tramite tag key. Il AWS Workload Credentials Provider recupera tutti i segreti che hanno il tag specificato.
Autorizzazioni richieste
Oltre alle autorizzazioni standard per il recupero dei segreti, il prefetching richiede quanto segue:
-
secretsmanager:BatchGetSecretValue— Richiesto per tutte le operazioni di pre-recupero. -
secretsmanager:ListSecrets— Richiesto solo quando si utilizza il rilevamento basato su tag.
Configurazione del pre-fetching
Aggiungi una [capabilities.secrets_manager.prefetch] sezione al tuo file di configurazione TOML. Sono disponibili le seguenti opzioni:
cache_buffer_ratio-
La frazione massima di cache da riempire per client durante la fase di pre-fetch, compresa tra 0,1 e 1,0. L'impostazione predefinita è 0,8. Quando viene raggiunto il limite del buffer, il AWS Workload Credentials Provider interrompe il prerecupero dei segreti rimanenti e non rimuove le voci della cache esistenti. I segreti non caricati durante il prefetch sono ancora disponibili su richiesta.
max_jitter_seconds-
Un ritardo casuale in secondi prima dell'inizio del prefetching, compreso tra 0 e 10. Il valore predefinito è 0. Utilizzatelo per impedire chiamate API sincronizzate a livello di flotta quando più provider si avviano contemporaneamente.
Esempio Pre-fetch configurazione con segreti espliciti
[capabilities.secrets_manager.prefetch] cache_buffer_ratio = 0.6 max_jitter_seconds = 5 secrets = [ { secret_id = "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret-AbCdEf" }, { secret_id = "MyOtherSecret" }, ]
Esempio Pre-fetch configurazione con rilevamento basato su tag
[capabilities.secrets_manager.prefetch] cache_buffer_ratio = 0.8 filter_tags = [ { key = "Environment" }, { key = "Team" }, ]
Puoi anche combinare segreti espliciti e rilevamento basato su tag nella stessa configurazione. Per il recupero preliminare tra più account, aggiungi il campo. role_arn Per ulteriori informazioni, consulta Recupera i segreti tra gli account con il concatenamento dei ruoli.
Esempio Pre-fetch configurazione con accesso su più account
[capabilities.secrets_manager.prefetch] cache_buffer_ratio = 0.6 max_jitter_seconds = 5 secrets = [ { secret_id = "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret-AbCdEf" }, { secret_id = "cross-account-secret", role_arn = "arn:aws:iam::987654321098:role/SecretAccessRole" }, ] filter_tags = [ { key = "Environment" }, { key = "Team", role_arn = "arn:aws:iam::987654321098:role/SecretAccessRole" }, ]
Configurare il AWS Fornitore di credenziali per il carico di lavoro
Per modificare la configurazione del AWS Workload Credentials Provider, crea un file di configurazione TOML./aws-workload-credentials-provider sm
start --config config.toml
Il file di configurazione supporta un formato annidato. Le opzioni di Secrets Manager sono posizionate sotto[capabilities.secrets_manager], con sottosezioni per la cache e le impostazioni di sicurezza. Le opzioni di registrazione sono posizionate sotto. [logging]
Esempio Esempio di file di configurazione annidato
[logging] log_level = "INFO" log_to_file = true [capabilities.secrets_manager] enabled = true http_port = 2773 region = "us-east-1" path_prefix = "/v1/" max_conn = 800 max_roles = 20 [capabilities.secrets_manager.cache] ttl_seconds = 300 cache_size = 1000 [capabilities.secrets_manager.security] ssrf_headers = ["X-Aws-Parameters-Secrets-Token", "X-Vault-Token"] ssrf_env_variables = ["AWS_TOKEN", "AWS_SESSION_TOKEN", "AWS_CONTAINER_AUTHORIZATION_TOKEN"]
Nota
Le chiavi piatte a livello root (ad esempio,http_port = 2773) sono ancora supportate per la compatibilità con le versioni precedenti con i file di configurazione esistenti.
Opzioni di configurazione di Secrets Manager
enabled-
Se la funzionalità Secrets Manager è attiva:
trueofalse. Il valore predefinito ètrue. http_port-
La porta per il server HTTP locale, nell'intervallo da 1024 a 65535. L'impostazione predefinita è 2773.
region-
La AWS regione da utilizzare per le richieste. Se non viene specificata alcuna regione, il AWS Workload Credentials Provider determina la regione dall'SDK. Per ulteriori informazioni, consulta Specificare le credenziali e la regione predefinita nella Guida per sviluppatori AWS SDK for Rust.
path_prefix-
Il prefisso URI utilizzato per determinare se la richiesta è una richiesta basata sul percorso. L'impostazione predefinita è «/v1/».
max_conn-
Il numero massimo di connessioni dai client HTTP consentito dal AWS Workload Credentials Provider, compreso tra 1 e 1000. L'impostazione predefinita è 800.
max_roles-
Il numero massimo di ruoli IAM simultanei per l'accesso su più account, compreso tra 1 e 20. Il valore di default è 20. Per ulteriori informazioni, consulta Recupera i segreti tra gli account con il concatenamento dei ruoli.
Opzioni di cache ([capabilities.secrets_manager.cache])
ttl_seconds-
Il TTL in secondi per gli elementi memorizzati nella cache, compreso tra 0 e 3600. L'impostazione predefinita è 300. 0 indica che non è presente alcuna memorizzazione nella cache.
cache_size-
Il numero massimo di segreti che possono essere archiviati nella cache, compreso tra 1 e 1000. Il valore predefinito è 1000.
Opzioni di sicurezza ([capabilities.secrets_manager.security])
ssrf_headers-
Un elenco di nomi di intestazione che il Workload Credentials Provider verifica per il token SSRF.AWS L'impostazione predefinita è ",». X-Aws-Parameters-Secrets-Token X-Vault-Token
ssrf_env_variables-
Un elenco di nomi di variabili di ambiente che il AWS Workload Credentials Provider controlla in ordine sequenziale per il token SSRF. La variabile di ambiente può contenere il token o un riferimento al file del token come in:.
AWS_TOKEN=file:///var/run/awssmatokenL'impostazione predefinita è "AWS_TOKEN, AWS_SESSION_TOKEN, AWS_CONTAINER_AUTHORIZATION_TOKEN».
Opzioni di registrazione ([registrazione])
log_level-
Il livello di dettaglio riportato nei log per il AWS Workload Credentials Provider: DEBUG, INFO, WARN, ERROR o NONE. L'impostazione predefinita è INFO.
log_to_file-
Se accedere a un file o stdout/stderr:
trueofalse. Il valore predefinito ètrue.
Funzionalità opzionali
Il AWS Workload Credentials Provider può essere creato con funzionalità opzionali passando il flag a. --features cargo build Le funzionalità disponibili sono:
Caratteristiche di compilazione
prefer-post-quantum-
Crea
X25519MLKEM768l'algoritmo di scambio di chiavi con la massima priorità. Altrimenti, è disponibile ma non ha la massima priorità.X25519MLKEM768è un algoritmo di scambio di chiavi ibrido e post-quantistico sicuro. fips-
Limita le suite di crittografia utilizzate dal provider ai soli codici. FIPS-approved
Registrazione dei log
- Registrazione locale
-
Il AWS Workload Credentials Provider registra gli errori localmente nel file
logs/secrets_manager_provider.logo in stdout/stderr base alla variabile di configurazione.log_to_fileQuando l'applicazione chiama il AWS Workload Credentials Provider per ottenere un messaggio segreto, tali chiamate vengono visualizzate nel registro locale. Non vengono visualizzate nei log. CloudTrail - Rotazione del registro
-
Il AWS Workload Credentials Provider crea un nuovo file di registro quando il file raggiunge i 10 MB e memorizza fino a cinque file di registro in totale.
- AWS registrazione del servizio
-
Il registro non viene inviato a Secrets Manager CloudTrail, o CloudWatch. Le richieste di ottenere informazioni segrete dal AWS Workload Credentials Provider non vengono visualizzate in questi registri. Quando il AWS Workload Credentials Provider effettua una chiamata a Secrets Manager per ottenere un segreto, tale chiamata viene registrata CloudTrail con una stringa user agent contenente.
aws-workload-credentials-provider
È possibile configurare le opzioni di registrazione in. Configurare il AWS Fornitore di credenziali per il carico di lavoro
Considerazioni relative alla sicurezza
- Dominio di fiducia
-
Per un'architettura di provider locale, il dominio di fiducia è il punto in cui sono accessibili l'endpoint del provider e il token SSRF, che di solito è l'intero host. Il dominio di fiducia per il AWS Workload Credentials Provider deve corrispondere al dominio in cui sono disponibili le credenziali di Secrets Manager per mantenere lo stesso livello di sicurezza. Ad esempio, su Amazon EC2 il dominio di fiducia per il AWS Workload Credentials Provider sarebbe lo stesso del dominio delle credenziali quando si utilizzano i ruoli per Amazon EC2.
Importante
Le applicazioni attente alla sicurezza che non utilizzano già una soluzione basata su provider con le credenziali di Secrets Manager bloccate sull'applicazione dovrebbero prendere in considerazione l'utilizzo degli SDK o delle soluzioni di caching specifici del linguaggio AWS. Per ulteriori informazioni, consulta Get secrets.