本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon 中以程式設計方式傳遞 Secrets Manager 秘密 ECS
您可以使用 Secrets Manager 來存放敏感資料,而不是在應用程式中以純文字硬式編碼敏感資訊。
我們建議使用這種方法擷取敏感資料,因為使用這種方法後,隨後如果 Secrets Manager 秘密有更新,應用程式會自動擷取最新版本的秘密。
在 Secrets Manager 中建立秘密。建立 Secret Manager 秘密後,更新應用程式程式碼即可擷取秘密。
保護 Secrets Manager 中的敏感資料之前,請先檢閱下列考量事項。
-
僅API支援存放文字資料的秘密,這是使用 CreateSecret 的
SecretString參數建立的秘密。CreateSecret API 不支援存放二進位資料的秘密,這是使用SecretBinary參數建立的秘密。 -
使用介面VPC端點來增強安全控制。您必須為 Secrets Manager 建立介面VPC端點。如需VPC端點的相關資訊,請參閱AWS Secrets Manager 《 使用者指南》中的建立VPC端點。
-
VPC 您的任務使用 必須使用 DNS 解析度。
-
您的任務定義必須使用具有 Secrets Manager 額外許可的任務角色。如需詳細資訊,請參閱Amazon ECS任務IAM角色。
建立 Secrets Manager 秘密
您可以使用 Secrets Manager 主控台為您的敏感資料建立秘密。如需有關如何建立秘密的詳細資訊,請參閱《AWS Secrets Manager 使用者指南》中的建立 AWS Secrets Manager 秘密。
更新應用程式以程式設計方式擷取 Secrets Manager 秘密
您可以透過APIs直接從應用程式呼叫 Secrets Manager 來擷取秘密。如需詳細資訊,請參閱AWS Secrets Manager 《 使用者指南》中的從 擷取秘密 AWS Secrets Manager。
若要擷取存放在 中的敏感資料 AWS Secrets Manager,請參閱程式碼範例程式碼庫中的 AWS Secrets Manager 使用 AWS SDKs程式碼範例。 AWS SDK
