2

我使用 AWS Secrets Manager 存储了一个密钥。我正在尝试将密钥作为环境变量检索到 ECS 任务定义中。

docs之后,我创建了一个 ECS 任务定义,其中包括以下部分:

"secrets": [
  {
    "name": "MY_PASSWORD",
    "valueFrom": "/aws/reference/secretsmanager/my_password"
  }
],

据我了解,当我的任务开始时,这是:

  1. my_password从 Secrets Manager获取最新版本的密钥
  2. 在任务中解密它
  3. 将其分配给环境变量MY_PASSWORD

我想在我的任务定义中加载特定版本的秘密,因此更改秘密意味着创建一个新的任务定义。

我可以这样做吗?

我在谷歌上搜索过,但找不到其他人试图这样做。

我尝试将版本 ID 附加到valueFrom参数,即

"secrets": [
  {
    "name": "MY_PASSWORD",
    "valueFrom": "/aws/reference/secretsmanager/my_password:39231735-0279-4093-b8d1-7acd5a467295"
  }
],

但这有一个错误:

为密钥 es_username 指定的 Systems Manager 参数名称无效。参数名称最长为 2048 个字符,包括以下字母和符号:a-zA-Z0-9_.-、

4

1 回答 1

0

根据AWS Docs,我们应该通过 Secrets ARN 来完成这项工作。

句法:

{
    "containerDefinitions": [{
        "secrets": [{
            "name": "environment_variable_name",
            "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name"
        }]
    }]
}

为了获取密钥的特定版本,您可以传递暂存标签或特定版本 ID。

使用暂存标签的示例:

{
  "containerDefinitions": [{
    "secrets": [{
      "name": "environment_variable_name",
      "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name::AWSPREVIOUS:"
    }]
  }]
}

使用版本 ID 的示例:

{
  "containerDefinitions": [{
    "secrets": [{
      "name": "environment_variable_name",
      "valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name:::VersionID"
    }]
  }]
}
于 2021-09-10T07:15:23.870 回答