Поддержка Secrets в Environment для #Fargate появилась в конце 2018-го года (версия Fargate 1.3), но на текущий момент в документации есть только следующее. Получается, это можно реализовать и в #CloudFormation #templates, однако документация, как обычно, отстаёт и хромает, хотя это уже работает.
Предположим, что нужно поднять какой-то Fargate контейнер, создать для него #SSM_Parameters, которые прокидываются в докер Environment, чтобы после можно было поменять нужный параметр без пересоздания всего стэка (для применения, естественно, потребуется пересоздание таски).
Главная часть кода для имплементации такого будет следующая:
Т.е. добавляется блок Secrets, куда значения из #ParameterStore попадают благодаря такой конструкции:
arn:aws:ssm:YOUR_AWS_REGION:YOUR_AWS_ACCOUNT:parameter/PARAMETER_NAME
Полный (рабочий) пример тут.
На текущий момент параметры из блока Secrets не отображаются в AWS Console (см. картинку внизу - она из примера), однако точно работают (можно попробовать пример). Хотя с некоторыми регионами могут быть вопросы - точно работает (проверено) для Virginia и Ireland.
Предположим, что нужно поднять какой-то Fargate контейнер, создать для него #SSM_Parameters, которые прокидываются в докер Environment, чтобы после можно было поменять нужный параметр без пересоздания всего стэка (для применения, естественно, потребуется пересоздание таски).
Главная часть кода для имплементации такого будет следующая:
...
ssmparamDbEndpoint:
Type: AWS::SSM::Parameter
Properties:
Name: !Ref ParamNameDbEndpoint
Type: String
Value: !Ref DbEndpoint
Description: SSM Parameter for DB endpoint
...
fargateTask:
Type: AWS::ECS::TaskDefinition
Properties:
ContainerDefinitions:
- Name: !Ref ServiceName
Image: !Ref DockerImage
Essential: true
Secrets:
- Name: WORDPRESS_DB_HOST
ValueFrom: !Join ['',['arn:aws:ssm:', !Ref 'AWS::Region', ':', !Ref 'AWS::AccountId', ':parameter/', !Ref ParamNameDbEndpoint]]
- Name: WORDPRESS_DB_USER
ValueFrom: !Join ['',['arn:aws:ssm:', !Ref 'AWS::Region', ':', !Ref 'AWS::AccountId', ':parameter/', !Ref ParamNameDbUser]]
- Name: WORDPRESS_DB_PASSWORD
ValueFrom: !Join ['',['arn:aws:ssm:', !Ref 'AWS::Region', ':', !Ref 'AWS::AccountId', ':parameter/', !Ref ParamNameDbPassword]]
Environment:
- Name: WORDPRESS_DB_NAME
Value: wp-db
...
Т.е. добавляется блок Secrets, куда значения из #ParameterStore попадают благодаря такой конструкции:
arn:aws:ssm:YOUR_AWS_REGION:YOUR_AWS_ACCOUNT:parameter/PARAMETER_NAME
Полный (рабочий) пример тут.
На текущий момент параметры из блока Secrets не отображаются в AWS Console (см. картинку внизу - она из примера), однако точно работают (можно попробовать пример). Хотя с некоторыми регионами могут быть вопросы - точно работает (проверено) для Virginia и Ireland.
Parameter Store теперь можно получить из другого аккаунта.
https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-shared-parameters.html
Ждал этого столько лет. Хотя вру, давно переключился на Secrets Manager.
В общем, теперь параметры можно шарить стандартным способом — с помощью RAM (Recourse Access Manager). То есть точно также, как VPC, а значит хоть на всю организацию сразу.
⚠️ Это не прокатит для бесплатных параметров (Standard tier), такое умеют только Advanced tier параметры. Стоит 5 центов в месяц за штуку плюс за запросы, короче, совсем не бесплатно, но для кого-то будет просто спасением.
#SSM #ParameterStore
https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-shared-parameters.html
Ждал этого столько лет. Хотя вру, давно переключился на Secrets Manager.
В общем, теперь параметры можно шарить стандартным способом — с помощью RAM (Recourse Access Manager). То есть точно также, как VPC, а значит хоть на всю организацию сразу.
⚠️ Это не прокатит для бесплатных параметров (Standard tier), такое умеют только Advanced tier параметры. Стоит 5 центов в месяц за штуку плюс за запросы, короче, совсем не бесплатно, но для кого-то будет просто спасением.
#SSM #ParameterStore
👍6