CloudWatch estensioni delle condutture

CloudWatch le estensioni delle pipeline forniscono funzionalità aggiuntive alla pipeline. Puoi utilizzare l'integrazione di AWS Secrets Manager per la gestione delle credenziali.

AWS Estensione Secrets Manager

Configura l'accesso a AWS Secrets Manager per il recupero di credenziali e valori di configurazione sensibili. Questa estensione è supportata solo per fonti di terze parti che richiedono credenziali di autenticazione.

Configurazione

Configura l'estensione AWS Secrets Manager con i seguenti parametri:


extension:
  aws:
    secrets:
      <secret-name>:
        secret_id: "<secret arn>"
        region: "<secret region>"
        sts_role_arn: "arn:aws:iam::123456789012:role/Example-Role"
        refresh_interval: PT1H
        disable_refresh: false

Parameters

aws.secrets.<secret-name>.secret_id(richiesto): L'ARN del segreto di AWS Secrets Manager contenente le credenziali.
aws.secrets.<secret-name>.region(richiesto): La AWS regione in cui è memorizzato il segreto.
aws.secrets.<secret-name>.sts_role_arn(richiesto): L'ARN del ruolo IAM da assumere per accedere al segreto di AWS Secrets Manager.
aws.secrets.<secret-name>.refresh_interval (facoltativo): Con che frequenza aggiornare il segreto da AWS Secrets Manager. Utilizza il formato di durata ISO 8601. Il valore predefinito è PT1 H (1 ora).
aws.secrets.<secret-name>.disable_refresh (facoltativo): Se disabilitare l'aggiornamento automatico segreto. Il valore predefinito è false (falso).

Sintassi dei riferimenti segreti

Fai riferimento ai segreti nella configurazione della pipeline utilizzando la seguente sintassi:


${{aws_secrets:<secret-name>:<key>}}

Ad esempio, per fare riferimento a un ID client e a un segreto:


source:
  microsoft_office365:
    authentication:
      oauth2:
        client_id: "${{aws_secrets:office365-creds:client_id}}"
        client_secret: "${{aws_secrets:office365-creds:client_secret}}"

Requisiti e limitazioni

Formato segreto: I segreti devono essere archiviati come coppie chiave-valore JSON in Secrets Manager AWS .
Accesso tra regioni: È possibile accedere ai segreti da qualsiasi regione in cui è disponibile AWS Secrets Manager.
Limiti degli intervalli di aggiornamento: L'intervallo minimo di aggiornamento è di 5 minuti (M). PT5 Il massimo è 24 ore (PT24H).
Massimo numero di segreti: Una pipeline può fare riferimento a un massimo di 10 segreti diversi.

Importante

Quando usi i segreti, considera quanto segue:

Assicurati che il ruolo IAM disponga delle autorizzazioni appropriate per accedere ai segreti
Monitora l'accesso segreto utilizzando AWS CloudTrail
Usa segreti separati per ambienti diversi (sviluppo, produzione)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

CloudWatch pipeline, politiche e autorizzazioni IAM

Monitoraggio delle pipeline mediante CloudWatch metriche