Amazon ECS 環境変数経由で Secrets Manager シークレットを取得する
シークレットを環境変数として挿入する場合、シークレットの内容全体、シークレット内の特定の JSON キー、挿入するシークレットの特定のバージョンを指定できます。これは、コンテナに公開される機密データの制御に役立ちます。シークレットのバージョン管理の詳細については、「AWS Secrets Manager ユーザーガイド」の「Secrets Manager シークレットの内容」を参照してください。
環境変数を使用して Secrets Manager シークレットをコンテナに挿入する場合は、以下を考慮する必要があります。
-
重要なデータは、コンテナが最初に開始されたときにコンテナに挿入されます。シークレットを後で更新またはローテーションすると、コンテナには更新された値が自動的に送信されなくなります。この場合は、新しいタスクを起動する必要があります。または、タスクがサービスの一部である場合は、サービスを更新し、[Force new deployment] (新しいデプロイの強制) オプションを使用して、新しいタスクの起動をサービスに強制できます。
-
AWS Fargate 上の Amazon ECS タスクでは、以下の点を考慮してください。
-
シークレットの内容全体を環境変数として挿入したり、ログ設定にシークレットを挿入したりするには、プラットフォームバージョン
1.3.0以降を使用する必要があります。詳細については、Amazon ECS 向け Fargate プラットフォームバージョン を参照してください。 -
特定の JSON キーまたはシークレットのバージョンを環境変数またはログ設定に挿入するには、プラットフォームバージョン
1.4.0以降 (Linux) または1.0.0(Windows) を使用する必要があります。詳細については、Amazon ECS 向け Fargate プラットフォームバージョン を参照してください。
-
-
EC2 上の Amazon ECS タスクでは、以下の点を考慮する必要があります。
-
シークレットの特定の JSON キーやバージョンを使用してシークレットを挿入するには、コンテナインスタンスにバージョン
1.37.0以降のコンテナエージェントが必要です。ただし、最新のコンテナエージェントのバージョンを使用することをお勧めします。エージェントのバージョンの確認と最新バージョンへの更新については、「Amazon ECS コンテナエージェントをアップデートする」を参照してください。シークレットの内容全体を環境変数として挿入したり、ログ設定にシークレットを挿入したりするには、コンテナインスタンスにバージョン
1.22.0以降のコンテナエージェントが必要です。
-
-
インターフェイス VPC エンドポイントを使用してセキュリティコントロールを強化し、プライベートサブネットを介して Secrets Manager に接続します。Secrets Manager 用に、インターフェイス VPC エンドポイントを作成する必要があります。VPC エンドポイントの詳細については、「AWS Secrets Manager ユーザーガイド」の「VPC エンドポイントの作成」を参照してください。Secrets Manager と Amazon VPC の使用の詳細については、「How to connect to Secrets Manager service within a Amazon VPC
」を参照してください。 -
awslogsログドライバーを使用するように設定された Windows タスクの場合は、コンテナインスタンスでECS_ENABLE_AWSLOGS_EXECUTIONROLE_OVERRIDE環境変数も設定する必要があります。次の構文を使用します。<powershell> [Environment]::SetEnvironmentVariable("ECS_ENABLE_AWSLOGS_EXECUTIONROLE_OVERRIDE", $TRUE, "Machine") Initialize-ECSAgent -Cluster <cluster name> -EnableTaskIAMRole -LoggingDrivers '["json-file","awslogs"]' </powershell> -
タスク定義では、Secrets Manager の追加アクセス許可を持つタスク実行ロールを使用する必要があります。詳細については、「Amazon ECS タスク実行IAM ロール」を参照してください。
AWS Secrets Manager シークレットを作成する
Secrets Manager コンソールを使用して、機密データ用のシークレットを作成できます。詳細については、「AWS Secrets Manager ユーザーガイド」の「AWS Secrets Manager シークレットを作成する」を参照してください。
コンテナ定義に環境変数を追加します。
コンテナの定義内では、以下を指定できます。
-
コンテナに設定する環境変数の名前が含まれている
secretsオブジェクト -
Secrets Manager シークレットの Amazon リソースネーム (ARN)。
-
コンテナに渡す機密データが含まれている追加のパラメータ
次の例は、Secrets Manager シークレットに指定する必要がある完全な構文を示しています。
arn:aws:secretsmanager:region:aws_account_id:secret:secret-name:json-key:version-stage:version-id
次のセクションでは、追加のパラメータについて説明します。追加のパラメータはオプションですが、これらを使用しないでデフォルト値を使用する場合は、コロン : を含める必要があります。以下の例でより詳細なコンテキストを示します。
json-key-
キーと値のペアのキーの名前を指定します。値は設定する環境変数の値です。JSON 形式の値のみがサポートされます。JSON キーを指定しないと、シークレットの内容全体が使用されます。
version-stage-
使用するシークレットのバージョンのステージングラベルを指定します。バージョンのステージングラベルを指定した場合、バージョン ID は指定できません。バージョンのステージを指定しないと、デフォルトの動作として、
AWSCURRENTステージングラベルのシークレットが取得されます。ステージングラベルは、シークレットが更新またはローテーションされたときに、シークレットのさまざまなバージョンを追跡するために使用します。シークレットの各バージョンには、1 つ以上のステージングラベルと 1 つの ID があります。詳細については、AWS Secrets Managerユーザーガイドの「AWS Secrets Managerの主な用語と概念」を参照してください。
version-id-
使用するシークレットのバージョンの固有 ID を指定します。バージョン ID を指定した場合、バージョンのステージングラベルは指定できません。バージョン ID を指定しないと、デフォルトの動作として、
AWSCURRENTステージングラベルのシークレットが取得されます。バージョン ID は、シークレットが更新またはローテーションされたときに、シークレットのさまざまなバージョンを追跡するために使用します。シークレットの各バージョンには ID があります。詳細については、AWS Secrets Managerユーザーガイドの「AWS Secrets Managerの主な用語と概念」を参照してください。
コンテナの定義の例
以下の例では、コンテナの定義で Secrets Manager シークレットを参照する方法を示します。
例 シークレット全体を参照する
次に示すのは、Secrets Manager シークレットのテキスト全体を参照するときの形式を示すタスク定義のスニペットです。
{ "containerDefinitions": [{ "secrets": [{ "name": "environment_variable_name", "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name-AbCdEf" }] }] }
コンテナ内から、このシークレットの値にアクセスするには、$environment_variable_name を呼び出します。
例 シークレット内の特定のキーを参照する
次に示すのは、シークレットの内容と、シークレットに関連付けられているバージョンのステージングラベルおよびバージョン ID を表示する get-secret-value コマンドの出力例です。
{ "ARN": "arn:aws:secretsmanager:region:aws_account_id:secret:appauthexample-AbCdEf", "Name": "appauthexample", "VersionId": "871d9eca-18aa-46a9-8785-981ddEXAMPLE", "SecretString": "{\"username1\":\"password1\",\"username2\":\"password2\",\"username3\":\"password3\"}", "VersionStages": [ "AWSCURRENT" ], "CreatedDate": 1581968848.921 }
前のコンテナの定義の出力で特定のキーを参照するには、ARN の最後にキー名を指定します。
{ "containerDefinitions": [{ "secrets": [{ "name": "environment_variable_name", "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:appauthexample-AbCdEf:username1::" }] }] }
例 特定のシークレットバージョンを参照する
次に示すのは、シークレットの暗号化されていない内容と、シークレットのすべてのバージョンのメタデータを表示する describe-secret コマンドの出力例です。
{ "ARN": "arn:aws:secretsmanager:region:aws_account_id:secret:appauthexample-AbCdEf", "Name": "appauthexample", "Description": "Example of a secret containing application authorization data.", "RotationEnabled": false, "LastChangedDate": 1581968848.926, "LastAccessedDate": 1581897600.0, "Tags": [], "VersionIdsToStages": { "871d9eca-18aa-46a9-8785-981ddEXAMPLE": [ "AWSCURRENT" ], "9d4cb84b-ad69-40c0-a0ab-cead3EXAMPLE": [ "AWSPREVIOUS" ] } }
前のコンテナの定義の出力で特定のバージョンのステージングラベルを参照するには、ARN の最後にキー名を指定します。
{ "containerDefinitions": [{ "secrets": [{ "name": "environment_variable_name", "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:appauthexample-AbCdEf::AWSPREVIOUS:" }] }] }
前のコンテナの定義の出力で特定のバージョン ID を参照するには、ARN の最後にキー名を指定します。
{ "containerDefinitions": [{ "secrets": [{ "name": "environment_variable_name", "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:appauthexample-AbCdEf:::9d4cb84b-ad69-40c0-a0ab-cead3EXAMPLE" }] }] }
例 シークレットの特定のキーおよびバージョンのステージングラベルを参照する
シークレット内の特定のキーと特定のバージョンのステージングラベルの両方を参照する方法は次のとおりです。
{ "containerDefinitions": [{ "secrets": [{ "name": "environment_variable_name", "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:appauthexample-AbCdEf:username1:AWSPREVIOUS:" }] }] }
特定のキーとバージョン ID を指定するには、次の構文を使用します。
{ "containerDefinitions": [{ "secrets": [{ "name": "environment_variable_name", "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:appauthexample-AbCdEf:username1::9d4cb84b-ad69-40c0-a0ab-cead3EXAMPLE" }] }] }
環境変数で指定されたシークレットを使用してタスク定義を作成する方法については、「コンソールを使用した Amazon ECS タスク定義の作成」を参照してください。
