amazon-cloudformation - 如何使用 aws-cdk 向 ecs 任务定义注入秘密

问题描述

我正在尝试将机密添加到任务定义中，但找不到从机密中的键/值中指定要使用哪个键的方法。

secrets = {
    "DBUSER": ecs.Secret.from_secrets_manager(
        sm.Secret.from_secret_complete_arn(
            self, 'secret-dbuser',
            'arn:aws:secretsmanager:eu-west-1:accountid:secret:secret-name').secret_value_from_json('DBUSER')
        )
}

container: ecs.ContainerDefinition = task_definition.add_container(
    "reports",
    image=ecs.RepositoryImage.from_ecr_repository(
        ecr.Repository.from_repository_name(self, "container", "container"), tag=image_tag,
    ),
    memory_limit_mib=2048, logging=ecs.LogDriver.aws_logs(stream_prefix="container-"),
    secrets=secrets
)

secret_value_from_json 返回一个 SecretValue，这不是我需要的。我也尝试过使用 from_secret_manager 和 filed='DBUSER' 但这给了我这样的错误

Invalid request provided: Create TaskDefinition: The Systems Manager parameter name specifie
d for secret DBUSER is invalid. The parameter name can be up to 2048 characters and include the following letters and symbols: a
-zA-Z0-9_.-, (Service: AmazonECS; Status Code: 400; Error Code: ClientException; Request ID

标签： amazon-cloudformationaws-cdk

如果密钥在同一个帐户/区域中，您应该能够：

secrets = {
    "DBUSER": ecs.Secret.from_secrets_manager(
        # import the secret by its name
        sm.Secret.from_secret_name_v2(self, 'secret-dbuser', '<secret-name-here>'),
        # specify the specific field
        'DBUSER'
    )
}

container: ecs.ContainerDefinition = task_definition.add_container(
    "reports",
    image=ecs.RepositoryImage.from_ecr_repository(
        ecr.Repository.from_repository_name(self, "container", "container"), tag=image_tag,
    ),
    memory_limit_mib=2048, logging=ecs.LogDriver.aws_logs(stream_prefix="container-"),
    secrets=secrets
)

ecs.Secret.from_secrets_manager()期望 aISecret和 a field。

另请参阅https://docs.aws.amazon.com/cdk/api/latest/python/aws_cdk.aws_ecs/Secret.html#aws_cdk.aws_ecs.Secret.from_secrets_manager

amazon-cloudformation - 如何使用 aws-cdk 向 ecs 任务定义注入秘密

问题描述

解决方案

推荐阅读