CloudWatch Verlängerungen von Rohrleitungen

CloudWatch Pipeline-Erweiterungen bieten zusätzliche Funktionen für die Pipeline. Sie können die AWS Secrets Manager Manager-Integration für die Verwaltung von Anmeldeinformationen verwenden.

AWS Secrets Manager Manager-Erweiterung

Konfiguriert den Zugriff auf AWS Secrets Manager zum Abrufen von Anmeldeinformationen und sensiblen Konfigurationswerten. Diese Erweiterung wird nur für Quellen von Drittanbietern unterstützt, für die Authentifizierungsdaten erforderlich sind.

Konfiguration

Konfigurieren Sie die AWS Secrets Manager Manager-Erweiterung mit den folgenden Parametern:


extension:
  aws:
    secrets:
      <secret-name>:
        secret_id: "<secret arn>"
        region: "<secret region>"
        sts_role_arn: "arn:aws:iam::123456789012:role/Example-Role"
        refresh_interval: PT1H
        disable_refresh: false

Parameters

aws.secrets.<secret-name>.secret_id (Erforderlich): Der ARN des AWS Secrets Manager Manager-Geheimnisses, das die Anmeldeinformationen enthält.
aws.secrets.<secret-name>.region (Erforderlich): Die AWS Region, in der das Geheimnis gespeichert ist.
aws.secrets.<secret-name>.sts_role_arn (Erforderlich): Der ARN der IAM-Rolle, die für den Zugriff auf das AWS Secrets Manager-Geheimnis übernommen werden soll.
aws.secrets.<secret-name>.refresh_interval (optional): Wie oft soll das Secret von AWS Secrets Manager aktualisiert werden? Verwendet das ISO 8601-Dauerformat. Die Standardeinstellung ist PT1 H (1 Stunde).
aws.secrets.<secret-name>.disable_refresh (optional): Ob die automatische geheime Aktualisierung deaktiviert werden soll. Standardwert "false".

Syntax für geheime Referenzen

Verweisen Sie mit der folgenden Syntax auf geheime Schlüssel in Ihrer Pipeline-Konfiguration:


${{aws_secrets:<secret-name>:<key>}}

Um beispielsweise auf eine Client-ID und ein Geheimnis zu verweisen:


source:
  microsoft_office365:
    authentication:
      oauth2:
        client_id: "${{aws_secrets:office365-creds:client_id}}"
        client_secret: "${{aws_secrets:office365-creds:client_secret}}"

Anforderungen und Einschränkungen

Geheimes Format: Geheimnisse müssen als JSON-Schlüssel-Wert-Paare in AWS Secrets Manager gespeichert werden.
Regionsübergreifender Zugriff: Auf Secrets kann von jeder Region aus zugegriffen werden, in der AWS Secrets Manager verfügbar ist.
Grenzwerte für Aktualisierungsintervalle: Das minimale Aktualisierungsintervall beträgt 5 Minuten (PT5M). Das Maximum ist 24 Stunden (PT24H).
Maximale Anzahl an Geheimnissen: Eine Pipeline kann auf bis zu 10 verschiedene Geheimnisse verweisen.

Wichtig

Beachten Sie bei der Verwendung von Geheimnissen Folgendes:

Stellen Sie sicher, dass die IAM-Rolle über die entsprechenden Berechtigungen für den Zugriff auf die Geheimnisse verfügt
Überwachen Sie den geheimen Zugriff mit AWS CloudTrail
Verwenden Sie separate Geheimnisse für verschiedene Umgebungen (Entwicklung, Produktion)

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

CloudWatch Pipelines, IAM-Richtlinien und -Berechtigungen

Überwachung von Pipelines mithilfe von Metriken CloudWatch