AWS Extension du Gestionnaire de Secrets

CloudWatch extensions de pipelines

CloudWatch les extensions de pipelines fournissent des fonctionnalités supplémentaires au pipeline. Vous pouvez utiliser l'intégration AWS Secrets Manager pour la gestion des informations d'identification.

AWS Extension du Gestionnaire de Secrets

Configure l'accès à AWS Secrets Manager pour récupérer les informations d'identification et les valeurs de configuration sensibles. Cette extension n'est prise en charge que pour les sources tierces qui nécessitent des informations d'authentification.

Configuration

Configurez l'extension AWS Secrets Manager avec les paramètres suivants :


extension:
  aws:
    secrets:
      <secret-name>:
        secret_id: "<secret arn>"
        region: "<secret region>"
        sts_role_arn: "arn:aws:iam::123456789012:role/Example-Role"
        refresh_interval: PT1H
        disable_refresh: false

Parameters

aws.secrets.<secret-name>.secret_id (obligatoire): L'ARN du secret AWS Secrets Manager contenant les informations d'identification.
aws.secrets.<secret-name>.region (obligatoire): La AWS région où le secret est conservé.
aws.secrets.<secret-name>.sts_role_arn (obligatoire): L'ARN du rôle IAM à assumer pour accéder au secret du AWS Secrets Manager.
aws.secrets.<secret-name>.refresh_interval (facultatif): À quelle fréquence actualiser le secret depuis AWS Secrets Manager. Utilise le format de durée ISO 8601. La valeur par défaut est PT1 H (1 heure).
aws.secrets.<secret-name>.disable_refresh (facultatif): S'il faut désactiver l'actualisation automatique du secret. La valeur par défaut est false.

Syntaxe de référence secrète

Référencez les secrets dans la configuration de votre pipeline à l'aide de la syntaxe suivante :


${{aws_secrets:<secret-name>:<key>}}

Par exemple, pour faire référence à un identifiant client et à un secret :


source:
  microsoft_office365:
    authentication:
      oauth2:
        client_id: "${{aws_secrets:office365-creds:client_id}}"
        client_secret: "${{aws_secrets:office365-creds:client_secret}}"

Exigences et limitations

Format secret: Les secrets doivent être stockés sous forme de paires clé-valeur JSON dans AWS Secrets Manager.
Accès interrégional: Les secrets sont accessibles depuis n'importe quelle région dans laquelle AWS Secrets Manager est disponible.
Limites d'intervalle d'actualisation: L'intervalle d'actualisation minimum est de 5 minutes (PT5M). Le maximum est de 24 heures (PT24H).
Un maximum de secrets: Un pipeline peut référencer jusqu'à 10 secrets différents.

Important

Lorsque vous utilisez des secrets, tenez compte des points suivants :

Assurez-vous que le rôle IAM dispose des autorisations appropriées pour accéder aux secrets
Surveillez les accès secrets à l'aide de AWS CloudTrail
Utiliser des secrets distincts pour différents environnements (développement, production)

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

CloudWatch pipelines, politiques et autorisations IAM

Surveillance des pipelines à l'aide de CloudWatch métriques