Federsted 帐户 AWS ECS Fargate Task 无法从 SSM 中提取机密
Federsted account AWS ECS Fargate Task cannot pull secrets from SSM
我对 Ecs Fargate 有特殊情况,问题是任务无法提取机密,但一切看起来都不错
我创建了一个新的vpc
3 public 个带有 IG 和 natGateway 的子网。
3 个带有本地路由和指向 natGateway 的 0.0.0.0 路由的私有子网。
我还在 SG 上打开了所有端口和 IP 通信,只是为了测试。
任务执行角色被 g运行ted 授予所有权限,如管理员(仅几分钟)
我检查了 acl,没有任何电线。
话虽如此,vpc 端点并不是必需的。
如果我 运行 没有参数存储引用的任务 (1.4) 它可以工作但是如果我在任务环境变量中添加对参数存储的引用它开始失败。
之后我用vpce做了另一个测试,我创建了SSM、secret manager、S3、dkr和ecr.api。
Dns 也在 vpc 级别启用,所以我应该工作但没有。
我还构建了一个额外的 ec2 实例,并将其放在没有 public IP 的私有子网中。
我使用另一个堡垒连接到它,我向外部网站发出了几个请求并且它有效,所以我可以假设与私有子网和 nat 的通信不会成为问题。
我已经以这种方式配置了 AWS 帐户并且它有效。
稍后我 运行 public 子网中的任务与 public IP 具有相同的结果,我也 运行 默认子网中的新任务 public IP,但没有任何变化。
所以在这一点上我不知道问题出在哪里任何帮助将不胜感激
该帐户是联合帐户的一部分
感谢阅读
@marcin 感谢您的回答,但是是的,我首先添加了所有个人权限,最后我添加了管理员权限,但问题真的很荒谬,我发现了错误。
希望它有所帮助,当我不得不添加 valueFrom 的 Arn 时,我只是输入了它,我没有从 cli Json 查询中复制它,而且我在输入区域时犯了一个错误。我设置了 us-east1 而不是 us-east-1。
当您键入错误的变量名称时,任务消息会明确指出它不存在,但在我的情况下,它似乎卡住了,试图在没有告知它不存在的情况下找到端点。
感谢大家
我对 Ecs Fargate 有特殊情况,问题是任务无法提取机密,但一切看起来都不错
我创建了一个新的vpc 3 public 个带有 IG 和 natGateway 的子网。 3 个带有本地路由和指向 natGateway 的 0.0.0.0 路由的私有子网。 我还在 SG 上打开了所有端口和 IP 通信,只是为了测试。 任务执行角色被 g运行ted 授予所有权限,如管理员(仅几分钟) 我检查了 acl,没有任何电线。
话虽如此,vpc 端点并不是必需的。 如果我 运行 没有参数存储引用的任务 (1.4) 它可以工作但是如果我在任务环境变量中添加对参数存储的引用它开始失败。
之后我用vpce做了另一个测试,我创建了SSM、secret manager、S3、dkr和ecr.api。 Dns 也在 vpc 级别启用,所以我应该工作但没有。
我还构建了一个额外的 ec2 实例,并将其放在没有 public IP 的私有子网中。 我使用另一个堡垒连接到它,我向外部网站发出了几个请求并且它有效,所以我可以假设与私有子网和 nat 的通信不会成为问题。 我已经以这种方式配置了 AWS 帐户并且它有效。
稍后我 运行 public 子网中的任务与 public IP 具有相同的结果,我也 运行 默认子网中的新任务 public IP,但没有任何变化。
所以在这一点上我不知道问题出在哪里任何帮助将不胜感激
该帐户是联合帐户的一部分
感谢阅读
@marcin 感谢您的回答,但是是的,我首先添加了所有个人权限,最后我添加了管理员权限,但问题真的很荒谬,我发现了错误。 希望它有所帮助,当我不得不添加 valueFrom 的 Arn 时,我只是输入了它,我没有从 cli Json 查询中复制它,而且我在输入区域时犯了一个错误。我设置了 us-east1 而不是 us-east-1。 当您键入错误的变量名称时,任务消息会明确指出它不存在,但在我的情况下,它似乎卡住了,试图在没有告知它不存在的情况下找到端点。
感谢大家