更新ECS容器而不公开任务定义环境变量

Question

我正在查看有关如何更新ecs服务容器的this post。它要求我传入一个带有任务定义的JSON文件。我唯一担心的是，如果我在CI / CD平台上有这个，我将不得不提交我的任务定义，其中包含环境变量部分中的秘密。

Answer 1

您应该考虑使用此博客中描述的AWS Parameter Store和chamber：https://aws.amazon.com/blogs/mt/the-right-way-to-store-secrets-using-parameter-store/

简而言之，这些步骤可归纳为：

1. 在本地安装chamber，您可以使用适当的AWS权限运行它。
2. 创建名为parameter_store_key。
的KMS密钥
3. 运行chamber write <service> <key> <value>将key=value添加到参数存储中（<service>是您应用的标签）。
4. 为您的ECS任务分配一个IAM角色，该角色有权访问Parameter Store参数和KMS密钥。
5. 将chamber安装到泊坞窗图片中。
6. 更新泊坞窗图片的ENTRYPOINT以运行chamber exec <service> -- yourapp。
7. <service>的参数商店参数现在可供您在环境中的应用使用。