您可以使用 logConfiguration 中的 secretOptions 参数来传递用于日志记录的敏感数据。
您可以将密钥存储在 Secrets Manager 或 Systems Manager 中。
使用 Secrets Manager
在容器定义中,当指定 logConfiguration 时,您可以同时指定 secretOptions,方法是使用要在容器中设置的日志驱动程序选项的名称,以及包含要提供给容器的敏感数据的 Secrets Manager 密钥的完整 ARN。
以下是任务定义的片段,其中显示引用 Secrets Manager 密钥时的格式。
{
"containerDefinitions": [{
"logConfiguration": [{
"logDriver": "splunk",
"options": {
"splunk-url": "https://your_splunk_instance:8088"
},
"secretOptions": [{
"name": "splunk-token",
"valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name-AbCdEf"
}]
}]
}]
}将环境变量添加到容器定义中
在容器定义中,使用要在容器中设置的环境变量的名称和包含要提供给容器的敏感数据的 Systems Manager Parameter Store 参数的完整 ARN 指定 secrets。有关更多信息,请参阅 secrets。
以下是任务定义的片段,其中显示引用 Systems Manager Parameter Store 参数时的格式。如果 Systems Manager Parameter Store 参数存在于要启动的任务所在的区域,则可以使用参数的完整 ARN 或名称。如果参数存在于不同的区域,则指定完整的 ARN。
{
"containerDefinitions": [{
"secrets": [{
"name": "environment_variable_name",
"valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name"
}]
}]
}有关如何使用环境变量中指定的密钥创建任务定义的信息,请参阅 使用控制台创建 Amazon ECS 任务定义。
使用 Systems Manager
您可以在日志配置中注入敏感数据。在容器定义中,当指定 logConfiguration 时,您可以使用要在容器中设置的日志驱动程序选项的名称以及包含要提供给容器的敏感数据的 Systems Manager Parameter Store 参数的完整 ARN 指定 secretOptions。
重要
如果 Systems Manager Parameter Store 参数存在于要启动的任务所在的区域,则可以使用参数的完整 ARN 或名称。如果参数存在于不同的区域,则指定完整的 ARN。
以下是任务定义的片段,其中显示引用 Systems Manager Parameter Store 参数时的格式。
{
"containerDefinitions": [{
"logConfiguration": [{
"logDriver": "fluentd",
"options": {
"tag": "fluentd demo"
},
"secretOptions": [{
"name": "fluentd-address",
"valueFrom": "arn:aws:ssm:region:aws_account_id:parameter:/parameter_name"
}]
}]
}]
}