问题 我应该如何将敏感环境变量传递给Amazon ECS任务？

您可以使用 参数存储 存储变量。如果你将它们存储为 SecureString，这些值将被加密。

您可以在任务定义中将它们作为环境变量引用。

您需要在容器启动脚本中检索它们

value_from_parameter_store =`aws ssm get-parameter --name $parameter_store_key --with-decryption --output text --query Parameter.Value --region $REGION `

你也可以提一下 parameter_store_key 作为环境变量。这样你就可以使用了 $parameter_store_key

例

Dockerfile：

FROM ubuntu
//some other steps
CMD ["sh","/startup.sh"]

启动脚本：

#! /bin/bash
export db_password =`aws ssm get-parameter --name $parameter_store_key --with-decryption --output text --query Parameter.Value --region $REGION `
// Do other stuff and use this password 

将参数放入SSM：

aws ssm put-parameter --name 'db_password' --type "SecureString" --value 'P@ssW%rd#1'

Docker运行命令：

docker run -e parameter_store_key=db_password -e REGION=us-east-1 <docker_image>

您可以使用 参数存储 存储变量。如果你将它们存储为 SecureString，这些值将被加密。

您可以在任务定义中将它们作为环境变量引用。

您需要在容器启动脚本中检索它们

value_from_parameter_store =`aws ssm get-parameter --name $parameter_store_key --with-decryption --output text --query Parameter.Value --region $REGION `

你也可以提一下 parameter_store_key 作为环境变量。这样你就可以使用了 $parameter_store_key

例

Dockerfile：

FROM ubuntu
//some other steps
CMD ["sh","/startup.sh"]

启动脚本：

#! /bin/bash
export db_password =`aws ssm get-parameter --name $parameter_store_key --with-decryption --output text --query Parameter.Value --region $REGION `
// Do other stuff and use this password 

将参数放入SSM：

aws ssm put-parameter --name 'db_password' --type "SecureString" --value 'P@ssW%rd#1'

Docker运行命令：

docker run -e parameter_store_key=db_password -e REGION=us-east-1 <docker_image>

如果使用环境变量，则可以在登录AWS控制台时看到它们。 AWS已经编写了一份关于使用适当“秘密”的指南，以保护您的敏感数据。 容器在启动时将这些加载到基于内存的环境变量中。 这是一个指南： https://aws.amazon.com/blogs/security/how-to-manage-secrets-for-amazon-ec2-container-service-based-applications-by-using-amazon-s3-and-docker/

从S3中拉出环境变量的实现 马克杨 提到：

https://www.promptworks.com/blog/handling-environment-secrets-in-docker-on-the-aws-container-service