Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWSPenyedia Kredensial Beban Kerja
Penyedia Kredensial AWS Beban Kerja mengotomatiskan penggunaan sertifikat TLS publik dan swasta yang diekspor dari ACM. Penyedia secara berkala mengambil sertifikat dan kunci pribadinya, menulisnya ke jalur yang dikonfigurasi, dan secara opsional menjalankan perintah untuk memuat ulang layanan dependen seperti server web.
Anda dapat menggunakan Penyedia Kredensial Beban Kerja dengan lingkungan komputasi berikut:
-
Amazon Elastic Compute Cloud (Amazon EC2)
-
On-premises server dengan AWS kredensil
Penyedia Kredensial Beban Kerja menggunakan asumsi peran IAM untuk mengambil sertifikat. Ini berjalan secara native sebagai layanan sistem di Linux dan Windows di bawah pengguna khusus dengan hak istimewa rendah dan menulis file sertifikat dengan izin terbatas.
penting
Hanya sertifikat yang dapat diekspor yang dapat digunakan dengan penyedia ini. Untuk informasi selengkapnya, lihat AWS Certificate Manager sertifikat publik yang dapat diekspor dan Mengekspor sertifikat pribadi.
Penyedia Kredensial AWS Beban Kerja adalah open source. Untuk kode sumber dan kontribusi, lihat GitHub repositori
Cara kerja otomatisasi sertifikat
Penyedia menggunakan penjadwal yang menyegarkan setiap sertifikat yang dikonfigurasi pada interval tetap:
-
Interval penyegaran adalah 24 jam.
-
Pada setiap siklus, penyedia mengekspor sertifikat, membandingkannya dengan file pada disk, dan menulis file baru hanya jika konten telah berubah.
-
Ketika file sertifikat diperbarui, dikonfigurasi
refresh_commandberjalan (misalnya, untuk memuat ulang NGINX atau Apache). -
Jika konten sertifikat tidak berubah, perintah refresh akan dilewati.
Penyedia melakukan penyegaran awal pada setiap boot sistem dan segera setelah startup layanan, dengan jitter acak kecil untuk menghindari panggilan API yang disinkronkan ketika beberapa penyedia memulai secara bersamaan di seluruh armada.
Penyedia juga mendukung pemuatan ulang konfigurasi dinamis, memungkinkan Anda untuk menambah, menghapus, atau memodifikasi sertifikat tanpa menginstal ulang. Untuk informasi selengkapnya, lihat Muat ulang konfigurasi dinamis.
Prasyarat
Sebelum Anda menginstal penyedia, pastikan Anda memiliki yang berikut:
-
Instans Linux dengan systemd (Amazon Linux 2023, Ubuntu 20.04+, atau RHEL 8+)
-
Atau instance Windows yang menjalankan Windows Server 2016 atau yang lebih baru dengan PowerShell 5.1 atau yang lebih baru
-
Akses administrator untuk menjalankan penginstal
-
Sertifikat yang dapat diekspor dalam ACM
-
Peran IAM dengan izin ekspor ACM (lihat) Izin yang diperlukan
-
AWSkredensyal yang tersedia pada instance (profil instance, variabel lingkungan, atau file kredensyal)
Instal penyedia
Konfigurasikan penyedia
Buat file konfigurasi TOMM dengan detail sertifikat Anda. Pemasang menyalin file ini /etc/aws-workload-credentials-provider/config.toml saat Anda menggunakan --config opsi.
catatan
Ketika chain_path dihilangkan, rantai sertifikat ditambahkan ke file di certificate_path untuk menghasilkan file fullchain. Ini kompatibel dengan server web yang mengharapkan satu file yang berisi sertifikat dan rantainya.
Muat ulang konfigurasi dinamis
Anda dapat memperbarui konfigurasi penyedia tanpa menginstal ulang dengan menjalankan acm reload perintah. Ini memvalidasi konfigurasi baru, memperbarui izin agar sesuai dengan jalur sertifikat baru, dan memulai ulang layanan.
Sertifikat yang dihapus dari konfigurasi berhenti disegarkan. Sertifikat baru segera memulai ekspor pertama mereka. Setiap sertifikat berjalan sebagai tugas independen, sehingga kegagalan dalam satu tidak mempengaruhi yang lain.
Izin yang diperlukan
Kredensi dasar
Kredensyal dasar penyedia (profil instans atau lingkungan) harus dapat mengambil peran yang ditentukan dalam setiap sertifikat: role_arn
{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::123456789012:role/ACMExportRole" }
Peran ekspor sertifikat
Peran yang ditentukan dalam role_arn memerlukan izin berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "acm:ExportCertificate", "Resource": "arn:aws:acm:us-west-2:123456789012:certificate/*" } ] }
Kebijakan kepercayaan peran harus memungkinkan identitas dasar penyedia untuk menganggapnya:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/EC2InstanceRole" }, "Action": "sts:AssumeRole" } ] }
Segarkan izin perintah (Linux)
Di Linux, penyedia menjalankan konfigurasi refresh_command melaluisudo. Pemasang menghasilkan entri sudoers /etc/sudoers.d/aws-workload-credentials-provider yang memungkinkan pengguna penyedia untuk menjalankan perintah yang dikonfigurasi dengan tepat tanpa prompt kata sandi.
penting
Pastikan /etc/sudoers menyertakan /etc/sudoers.d direktori. Pemasang memperingatkan jika direktif include ini tidak ada. Tanpa itu, file sudoers yang dihasilkan tidak berpengaruh dan perintah refresh akan gagal.
Di Windows, penyedia memicu tugas terjadwal refresh_command sebagai SYSTEM.
Verifikasi instalasi.
Setelah instalasi, verifikasi penyedia sedang berjalan dan sertifikat sedang ditulis:
Referensi konfigurasi
| Bidang | Diperlukan | Default | Deskripsi |
|---|---|---|---|
logging.log_level |
Tidak | info |
Verbositas logging:debug,,,info, warn error none |
logging.log_to_file |
Tidak | true |
Menulis log ke file (true) atau stdout/stderr (false) |
capabilities.acm.enabled |
Tidak | false |
Mengaktifkan atau menonaktifkan kemampuan ACM |
certificates[].certificate_arn |
Ya | — | ARN dari sertifikat ACM untuk diekspor |
certificates[].role_arn |
Ya | — | Peran IAM ARN untuk diasumsikan untuk panggilan ExportCertificate |
certificates[].certificate_path |
Ya | — | Jalur absolut untuk menulis file sertifikat |
certificates[].private_key_path |
Ya | — | Jalur absolut untuk menulis file kunci pribadi |
certificates[].chain_path |
Tidak | — | Jalur absolut untuk menulis rantai sertifikat. Jika dihilangkan, rantai ditambahkan ke certificate_path |
certificates[].refresh_command |
Tidak | — | Perintah untuk dijalankan setelah file sertifikat diperbarui. Harus menjadi jalan absolut |
certificates[].certificate_and_chain_permission |
Tidak | 0600 |
Izin file untuk file sertifikat dan rantai (format Linuxmode) |
certificates[].key_permission |
Tidak | 0600 |
Izin file untuk file kunci pribadi (modeformat Linux) |
Pencatatan log
Di Linux, penyedia log ke/opt/aws/workload-credentials-provider/logs/acm_provider.log.
Di Windows, penyedia log keC:\ProgramData\AWS\WorkloadCredentialsProvider\logs\acm_provider.log. Acara mulai dan berhenti layanan juga direkam dalam Log Peristiwa Aplikasi Windows di bawah sumberAWSWorkloadCredentialsProvider-ACM.
Rotasi log — Penyedia membuat file log baru ketika file saat ini mencapai 10 MB, dan menyimpan hingga lima file log yang diarsipkan.
AWSservice logging — Saat penyedia memanggilExportCertificate, panggilan itu direkam AWS CloudTrail dengan string agen pengguna yang berisiaws-workload-credentials-provider. Operasi internal penyedia (siklus penjadwal, penulisan file) hanya muncul di log lokal.
Anda dapat mengonfigurasi logging dengan log_to_file pengaturan log_level dan. Lihat informasi yang lebih lengkap di Referensi konfigurasi.