aws-secretsmanager-agent Docker镜像文档

镜像概述和主要用途

aws-secretsmanager-agent是一个轻量级的本地HTTP服务，专为在计算环境中安全高效地管理AWS Secrets Manager密钥而设计。该镜像允许用户轻松部署此服务，实现从AWS Secrets Manager读取密钥并将其缓存在内存中，从而减少对AWS API的直接调用，提升应用访问密钥的性能和可靠性。

核心功能和特性

• 本地HTTP服务：提供简单的HTTP接口，便于应用程序访问密钥
• 密钥读取能力：直接与AWS Secrets Manager集成，安全读取存储的密钥
• 内存缓存：将读取的密钥缓存在内存中，减少重复API调用，降低延迟
• 轻量级设计：基于Alpine Linux构建，镜像体积小，资源占用低

使用场景和适用范围

• 容器化应用：在Docker或Kubernetes等容器环境中运行，为应用提供密钥访问服务
• 微服务架构：作为独立服务部署，为多个微服务提供集中式密钥管理
• 需要频繁访问密钥的应用：通过内存缓存减少API调用次数，优化性能
• AWS云环境：适用于部署在AWS EC2、ECS、EKS等计算服务中的应用

使用方法和配置说明

镜像获取

该镜像托管在Docker Hub，可通过以下链接查看可用标签：
[***]

拉取最新版本镜像：

bash
docker pull alpine/asma:latest

基本运行示例

bash
docker run -d \
  --name aws-secretsmanager-agent \
  -p 8080:8080 \  # 默认HTTP端口，可根据需要修改
  -e AWS_REGION=us-east-1 \  # AWS区域配置
  alpine/asma:latest

配置参数说明

目前详细配置参数可参考Dockerfile源码：
[***]

通常需要配置的环境变量包括：

• AWS_REGION：AWS区域（必填）
• PORT：服务监听端口（默认8080）
• CACHE_TTL：密钥缓存时间（默认根据密钥配置）

安全注意事项

• 确保容器具有适当的AWS IAM权限，建议通过IAM角色（如EC2实例角色、EKS服务账户角色）授予访问Secrets Manager的权限
• 生产环境中建议启用HTTPS加密传输（可通过反向代理实现）
• 限制容器网络访问，仅允许授权应用访问该服务端口

构建信息

• Dockerfile源码：[***]
• 每日CI构建日志：N/A