3

我正在使用 AWS ECS 服务来编排我的 docker 容器。

还使用 Secret Manager 存储和检索个人信息。

我将SecretsManagerReadWrite政策应用于我的ecsTaskExecutionRoleecsServiceRole

在使用之前Fargate,我只是将 ECS 与 EC2 一起使用。

它工作正常。

但是在fargate,它抛出NoCredentialsError

我通过使用 boto3 制作的 python 脚本获取了秘密管理器。(https://docs.aws.amazon.com/ko_kr/code-samples/latest/catalog/python-secretsmanager-secrets_manager.py.html

这里有什么解决办法吗?

谢谢。

自定义权限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "secretsmanager:GetSecretValue",
                "ssm:GetParameters"
            ],
            "Resource": "*"
        }
    ]
}
4

2 回答 2

4

确保您应用的 IAM 策略具有以下权限:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters",
        "secretsmanager:GetSecretValue",
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:ssm:<region>:<aws_account_id>:parameter/parameter_name",
        "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:secret_name",
        "arn:aws:kms:<region>:<aws_account_id>:key/key_id"
      ]
    }
  ]
}

此外,请确保您使用的是 Fargate 1.3.0 ( https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform_versions.html )

但我会尝试其他方法来减少代码量。自 2018 年 11 月起,无需编写自己的代码即可从 Secret Manager 中获取机密。ECS/Fargate 可以为您完成。只需授予 ECS 访问您的密钥的权限并在任务定义中提供密钥 ARN。ECS/Fargate 会将密钥分配给环境变量。您的代码只需要像往常一样读取环境变量。

例如 :

"containerDefinitions": [
    {
        "secrets": [
            {
                "name": "environment_variable_name",
                "valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name"
            }
        ]
    }
]

文档在这里:https ://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data.html

于 2019-04-08T07:47:41.770 回答
0

我在解决同样的问题时偶然发现了这个线程。在我的情况下,权限已正确配置。但是,Secrets Manager 的 ARN 并不完整。

我已通过 ARN:

arn:aws:secretsmanager:${AWS::Region}:${AWS::AccountId}:secret:nonprod-testapp-rds-password"

代替:

arn:aws:secretsmanager:${AWS::Region}:${AWS::AccountId}:secret:nonprod-testapp-rds-password-wdxsae

将秘密的完整 ARN 作为容器定义中的秘密传递后,问题得到解决

于 2021-10-18T09:02:38.620 回答