Como faço para passar credenciais temporárias do AssumeRole para o tempo de execução do Docker com o CodeBuild?
Quero passar credenciais temporárias do AssumeRole para o ambiente de execução do Docker com o AWS CodeBuild.
Breve descrição
O CodeBuild usa o perfil de serviço CodeBuild como a credencial padrão da AWS no contêiner de criação. O tempo de execução do Docker em execução dentro do contêiner de criação não recebe nenhuma credencial da AWS e deve ser configurado explicitamente.
Exporte as credenciais AssumeRole como variáveis de ambiente. Em seguida, passe essas variáveis para o runtime do Docker usando o parâmetro --build-arg para docker build. Para obter mais informações, consulte docker build no site do Docker Docs.
Resolução
1. Crie um novo perfil para o tempo de execução do Docker. Por exemplo: Secretassumerole
2. Atualize a Política de Relacionamento de Confiança de Secretassumerole e adicione sua permissão de perfil de serviço do CodeBuild para o perfil assumido. Por exemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::$account_id:role/service-role/codebuild-service-role" }, "Action": "sts:AssumeRole" } ] }
3. Use o novo perfil para obter o valor do segredo do AWSExampleSecret do AWS Secrets Manager. Por exemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "arn:aws:secretsmanager:ap-northeast-1:$account_id:secret:tutorials/AWSExampleSecret-EHWYme" ] } ] }
**Observação:**Substitua $account_id pelo ID da sua conta. Você pode conceder qualquer permissão de operação durante o tempo de execução do Docker.
4. Adicione permissões sts:assumeRole ao seu perfil de serviço CodeBuild para permitir operações AssumeRole. Por exemplo:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::$account_id:role:role/Secretassumerole" } ] }
5. Use uma especificação de criação para exportar as credenciais AssumeRole para uma variável de ambiente. Em seguida, use o comando docker build para passar as credenciais para o tempo de execução do Docker. Por exemplo:
version: 0.2 phases: install: runtime-versions: nodejs: 16 commands: - ASSUME_ROLE_ARN="arn:aws:iam::$account_id:role/Secretassumerole" - TEMP_ROLE=$(aws sts assume-role --role-arn $ASSUME_ROLE_ARN --role-session-name test) - export TEMP_ROLE - export AWS_ACCESS_KEY_ID=$(echo "${TEMP_ROLE}" | jq -r '.Credentials.AccessKeyId') - export AWS_SECRET_ACCESS_KEY=$(echo "${TEMP_ROLE}" | jq -r '.Credentials.SecretAccessKey') - export AWS_SESSION_TOKEN=$(echo "${TEMP_ROLE}" | jq -r '.Credentials.SessionToken') pre_build: commands: - echo Build started on 'date' - echo Building the Docker image... - docker build . --build-arg AWS_ACCESS_KEY_ID=$AWS_ACCESS_KEY_ID --build-arg AWS_SECRET_ACCESS_KEY=$AWS_SECRET_ACCESS_KEY --build-arg AWS_SESSION_TOKEN=$AWS_SESSION_TOKEN
Observação: Você pode usar --duration-seconds para definir a duração máxima da sessão para o perfil assumido. Como esse processo envolve o encadeamento de perfis, a opção --duration-seconds aceita um valor máximo de 3600 segundos. Se você definir um valor maior que 3600 segundos, a operação falhará. Para obter mais informações, consulte a seção de encadeamento de perfis dos Termos e conceitos de perfis.
6. Em seu Dockerfile, obtenha as credenciais AssumeRole ao criar uma imagem. Por exemplo:
FROM amazonlinux:latest RUN yum -y install aws-cli ARG AWS_ACCESS_KEY_ID ARG AWS_SECRET_ACCESS_KEY ARG AWS_SESSION_TOKEN RUN echo $AWS_ACCESS_KEY_ID RUN echo $AWS_SECRET_ACCESS_KEY RUN echo $AWS_SESSION_TOKEN RUN aws sts get-caller-identity RUN aws secretsmanager get-secret-value --secret-id tutorials/AWSExampleSecret --region ap-northeast-1
**Observação:**Você pode adicionar RUN aws secretsmanager get-secret-value --secret-id tutorials/AWSExampleSecret em DOCKERFILE para recuperar os segredos na compilação. Aviso: Fazer isso pode expor seus segredos nos registros de construção.
Saída:
Step 8/11 : RUN echo $AWS_ACCESS_KEY_ID ---> Running in 1a1b1c1d1e1f AKIAIOSFODNN7EXAMPLE Removing intermediate container 2a3b4c5d6e7f ---> 32a8170f9697 Step 9/11 : RUN echo $AWS_SECRET_ACCESS_KEY ---> Running in 3a3b3c3d3e3f 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 Removing intermediate container 3a3b3c3d3e3f ---> 4a4b4c4d4e4f Step 10/11 : RUN echo $AWS_SESSION_TOKEN ---> Running in 5a5b5c5d5e5f FQoGZXIvYXdzEJP//////////wEaDPTjooaOAaU8NDj5oyKkAjVwT4uQHTZJdCtfOZxa6wTZVOy0Zkw+laN1RRVZhvhdPOWhU8VgK2d7ZgTlqaXn4NSrdWlnub6g5JobP4o509t3VLdMUR5ZJJcpnSlJAY5YM7vlPndroGcV+Y689ztVzQ1uVxdtpjQK1qh87fw6m0dHt7Q8Y8TferRNVvCM4kOroxPzovTbO6IkLDcBp8PhOVgtVtxEpON6nZrN990zzUmhXjT0vrtpDtAi339hhs7fzDOrnllQHSAmSerT0NhMOYVqBH1HJOq3FYnG+TUbHENpSq3kwTiPL2uoTw7/Ufrrgz4i3ENHm3rIWlbD8VuleDl5yhooKifmKDPjQAHs5HbVjD9lnxQFrCIuyvZdmsqzgoIjPt6z5H8lzugLHAAmbgiOwDoo+Oba7QU= Removing intermediate container 5a5b5c5d5e5f ---> 0cc838f3c865 Step 11/11 : RUN aws sts get-caller-identity ---> Running in 6a6b6c6d6e6f { "Account": "xxxxxxxxx", "UserId": "AIDACKCEVSQ6C2EXAMPLE:test", "Arn": "arn:aws:sts::$account_id:assumed-role/Secretassumerole/test" } Removing intermediate container 6d525393d667 ---> 2da2f38adc77 Step 12/12 : RUN aws secretsmanager get-secret-value --secret-id tutorials/AWSExampleSecret --region ap-northeast-1 ---> Running in 7a7b7c7d7e7f { "Name": "tutorials/AWSExampleSecret", "VersionId": "1a23bb45-679c-1d2e-fg34-567891234hi5", "SecretString": "{\"username\":\"myserviceusername\",\"password\":\"yourPassword\"}", "VersionStages": [ "AWSCURRENT" ], "CreatedDate": 1558616482.926, "ARN": "arn:aws:secretsmanager:ap-northeast-1:$account_id:secret:tutorials/M-EHWYme" } Removing intermediate container 8a8b8c8d8e8f ---> 9a9b9c9d9e9f Successfully built 9a9b9c9d9e9f
Vídeos relacionados
Conteúdo relevante
- feita há 25 diaslg...
- Resposta aceitafeita há 9 diaslg...
- feita há 12 diaslg...
- feita há 12 diaslg...
- Como uso a AWS CLI para chamar a operação AssumeRole e armazenar credenciais temporárias de usuário?AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos