本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將上游儲存庫登入資料存放在 AWS Secrets Manager 秘密中
<a name="pull-through-cache-creating-secret"></a>

為需要身分驗證的上游儲存庫建立提取快取規則時，您必須將憑證儲存在 Secrets Manager 秘密中。使用 Secrets Manager 秘密可能需要付費。如需詳細資訊，請參閱 [AWS Secrets Manager 定價](https://aws.amazon.com/secrets-manager/pricing/)。

下列程序將逐步指引您為每個支援的上游儲存庫建立 Secret Secrets Manager 秘密的方法。您可以選擇性地使用 Amazon ECR 主控台中的建立提取快取規則工作流程來建立秘密，而不是使用 Secrets Manager 主控台建立秘密。如需詳細資訊，請參閱[在 Amazon ECR 中建立提取快取規則](pull-through-cache-creating-rule.md)。

------
#### [ Docker Hub ]

**若要為您的 Docker Hub 憑證建立 Secrets Manager 秘密 (AWS 管理主控台)**若要建立 Secrets Manager 秘密 (AWS 管理主控台)

1. 前往以下位置開啟機密管理員控制台：[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

1. 選擇 **Store a new secret** (存放新機密)。

1. 在**選擇秘密類型**頁面上，執行下列動作。

   1. 針對**機密類型**，選擇**其他類型的機密**。

   1. 在**鍵值對**中，為您的 Docker Hub 憑證建立兩個資料列。秘密當中最多可以存放 65536 個位元組。

      1. 針對第一個鍵值對，請指定 `username` 為鍵，並指定您的 Docker Hub 使用者名稱為值。

      1. 針對第二個鍵值對，請指定 `accessToken` 為鍵，並指定您的 Docker Hub 存取字符為值。如需建立 Docker Hub 存取字符的詳細資訊，請參閱 Docker 文件中的[建立和管理存取字符](https://docs.docker.com/security/for-developers/access-tokens/)。

   1. 針對**加密金鑰**，請保留預設的 **aws/secretsmanager** AWS KMS key 值，接著選擇**下一步**。使用此金鑰無需任何成本。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的 [Secrets Manager 中的秘密加密和解密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)。
**重要**  
您必須使用預設 `aws/secretsmanager` 加密金鑰來加密秘密。Amazon ECR 不支援為此使用客戶自管金鑰 (CMK)。

1. 在**設定秘密**頁面上，執行下列動作。

   1. 輸入描述性的 **Secret name** (機密名稱) 和 **Description** (描述)。秘密名稱必須含有 1 至 512 個 Unicode 字元,並且以 `ecr-pullthroughcache/` 作為字首。
**重要**  
Amazon ECR AWS 管理主控台 只會顯示使用 `ecr-pullthroughcache/`字首名稱的 Secrets Manager 秘密。

   1. (選用) 在 **Tags** (標籤) 區段，將標籤新增到秘密。關於標記策略，請參閱 *《AWS Secrets Manager 使用者指南》*中的[標記 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html)。請勿在標籤中存放敏感資訊，因為標籤並未加密。

   1. (選用) 若要將資源政策新增至秘密，請在 **Resource permissions** (資源使用權限) 中選擇 **Edit permissions** (編輯許可)。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[將許可政策連接至 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)。

   1. （選用） 在**複寫秘密**中，若要將秘密複寫至另一個秘密 AWS 區域，請選擇**複寫秘密**。您可以立即複寫秘密，也可以稍後返回複寫。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[將秘密複寫至其他地區](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html)。

   1. 選擇**下一步**。

1. (選用) 在 **Configure rotation** (設定輪換) 頁面上，可開啟自動輪換。您也可以暫時關閉輪換，稍後再將其開啟。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[輪換 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。選擇**下一步**。

1. 在 **Review** (檢閱) 頁面上，檢閱機密詳細資訊，然後選擇 **Store** (存放)。

   Secrets Manager 會傳回秘密清單。如果您的新秘密沒有顯示，請選擇重新整理按鈕。

------
#### [ GitHub Container Registry ]

**若要為 GitHub Container Registry 憑證建立 Secrets Manager 秘密 (AWS 管理主控台)**若要建立 Secrets Manager 秘密 (AWS 管理主控台)

1. 前往以下位置開啟機密管理員控制台：[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

1. 選擇 **Store a new secret** (存放新機密)。

1. 在**選擇秘密類型**頁面上，執行下列動作。

   1. 針對**機密類型**，選擇**其他類型的機密**。

   1. 在**鍵/值對**中，為您的 GitHub 憑證建立兩個資料列。秘密當中最多可以存放 65536 個位元組。

      1. 針對第一個鍵值對，請指定 `username` 為鍵，並指定您的 GitHub 使用者名稱為值。

      1. 針對第二個鍵值對，請指定 `accessToken` 為鍵，並指定您的 GitHub 存取字符為值。如需建立 GitHub 存取字符的詳細資訊，請參閱 GitHub 文件中的[管理個人存取權字符](https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens)。

   1. 針對**加密金鑰**，請保留預設的 **aws/secretsmanager** AWS KMS key 值，接著選擇**下一步**。使用此金鑰無需任何成本。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的 [Secrets Manager 中的秘密加密和解密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)。
**重要**  
您必須使用預設 `aws/secretsmanager` 加密金鑰來加密秘密。Amazon ECR 不支援為此使用客戶自管金鑰 (CMK)。

1. 在 **Configure secret** (設定秘密) 頁面上，執行下列動作：

   1. 輸入描述性的 **Secret name** (機密名稱) 和 **Description** (描述)。秘密名稱必須含有 1 至 512 個 Unicode 字元,並且以 `ecr-pullthroughcache/` 作為字首。
**重要**  
Amazon ECR AWS 管理主控台 只會顯示使用 `ecr-pullthroughcache/`字首名稱的 Secrets Manager 秘密。

   1. (選用) 在 **Tags** (標籤) 區段，將標籤新增到秘密。關於標記策略，請參閱 *《AWS Secrets Manager 使用者指南》*中的[標記 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html)。請勿在標籤中存放敏感資訊，因為標籤並未加密。

   1. (選用) 若要將資源政策新增至秘密，請在 **Resource permissions** (資源使用權限) 中選擇 **Edit permissions** (編輯許可)。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[將許可政策連接至 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)。

   1. （選用） 在**複寫秘密**中，若要將秘密複寫至另一個秘密 AWS 區域，請選擇**複寫秘密**。您可以立即複寫秘密，也可以稍後返回複寫。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[將秘密複寫至其他地區](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html)。

   1. 選擇**下一步**。

1. (選用) 在 **Configure rotation** (設定輪換) 頁面上，可開啟自動輪換。您也可以暫時關閉輪換，稍後再將其開啟。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[輪換 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。選擇**下一步**。

1. 在 **Review** (檢閱) 頁面上，檢閱機密詳細資訊，然後選擇 **Store** (存放)。

   Secrets Manager 會傳回秘密清單。如果您的新秘密沒有顯示，請選擇重新整理按鈕。

------
#### [ Microsoft Azure Container Registry ]

**若要為您的 Microsoft Azure Container Registry 憑證建立 Secrets Manager 秘密 (AWS 管理主控台)**若要建立 Secrets Manager 秘密 (AWS 管理主控台)

1. 前往以下位置開啟機密管理員控制台：[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

1. 選擇 **Store a new secret** (存放新機密)。

1. 在**選擇秘密類型**頁面上，執行下列動作。

   1. 針對**機密類型**，選擇**其他類型的機密**。

   1. 在**鍵/值對**中，為您的 Microsoft Azure 憑證建立兩個資料列。秘密當中最多可以存放 65536 個位元組。

      1. 針對第一個鍵值對，請指定 `username` 為鍵，並指定您的 Microsoft Azure Container Registry 使用者名稱為值。

      1. 針對第二個鍵值對，請指定 `accessToken` 為鍵，並指定您的 Microsoft Azure Container Registry 存取字符為值。如需建立 Microsoft Azure 存取字符的詳細資訊，請參閱 Microsoft Azure 文件中的[建立字符 - 入口網站](https://learn.microsoft.com/en-us/azure/container-registry/container-registry-repository-scoped-permissions#create-token---portal)。

   1. 針對**加密金鑰**，請保留預設的 **aws/secretsmanager** AWS KMS key 值，接著選擇**下一步**。使用此金鑰無需任何成本。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的 [Secrets Manager 中的秘密加密和解密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)。
**重要**  
您必須使用預設 `aws/secretsmanager` 加密金鑰來加密秘密。Amazon ECR 不支援為此使用客戶自管金鑰 (CMK)。

1. 在 **Configure secret** (設定秘密) 頁面上，執行下列動作：

   1. 輸入描述性的 **Secret name** (機密名稱) 和 **Description** (描述)。秘密名稱必須含有 1 至 512 個 Unicode 字元,並且以 `ecr-pullthroughcache/` 作為字首。
**重要**  
Amazon ECR AWS 管理主控台 只會顯示使用 `ecr-pullthroughcache/`字首名稱的 Secrets Manager 秘密。

   1. (選用) 在 **Tags** (標籤) 區段，將標籤新增到秘密。關於標記策略，請參閱 *《AWS Secrets Manager 使用者指南》*中的[標記 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html)。請勿在標籤中存放敏感資訊，因為標籤並未加密。

   1. (選用) 若要將資源政策新增至秘密，請在 **Resource permissions** (資源使用權限) 中選擇 **Edit permissions** (編輯許可)。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[將許可政策連接至 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)。

   1. （選用） 在**複寫秘密**中，若要將秘密複寫至另一個秘密 AWS 區域，請選擇**複寫秘密**。您可以立即複寫秘密，也可以稍後返回複寫。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[將秘密複寫至其他地區](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html)。

   1. 選擇**下一步**。

1. (選用) 在 **Configure rotation** (設定輪換) 頁面上，可開啟自動輪換。您也可以暫時關閉輪換，稍後再將其開啟。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[輪換 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。選擇**下一步**。

1. 在 **Review** (檢閱) 頁面上，檢閱機密詳細資訊，然後選擇 **Store** (存放)。

   Secrets Manager 會傳回秘密清單。如果您的新秘密沒有顯示，請選擇重新整理按鈕。

------
#### [ GitLab Container Registry ]

**為您的 GitLab Container Registry 登入資料建立 Secrets Manager 秘密 (AWS 管理主控台)**若要建立 Secrets Manager 秘密 (AWS 管理主控台)

1. 前往以下位置開啟機密管理員控制台：[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

1. 選擇 **Store a new secret** (存放新機密)。

1. 在**選擇秘密類型**頁面上，執行下列動作。

   1. 針對**機密類型**，選擇**其他類型的機密**。

   1. 在**金鑰/值對**中，為您的 GitLab 登入資料建立兩列。秘密當中最多可以存放 65536 個位元組。

      1. 對於第一個金鑰/值對，將 指定`username`為金鑰，將 GitLab Container Registry 使用者名稱指定為值。

      1. 對於第二個金鑰/值對，請將 指定`accessToken`為金鑰，並將 GitLab Container Registry 存取權杖指定為值。如需建立 GitLab 容器登錄檔存取字符的詳細資訊，請參閱 GitLab 文件中的[個人存取字符](https://docs.gitlab.com/ee/user/profile/personal_access_tokens.html)、[群組存取字符](https://docs.gitlab.com/ee/user/group/settings/group_access_tokens.html)或[專案存取字符](https://docs.gitlab.com/ee/user/project/settings/project_access_tokens.html)。

   1. 針對**加密金鑰**，請保留預設的 **aws/secretsmanager** AWS KMS key 值，接著選擇**下一步**。使用此金鑰無需任何成本。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的 [Secrets Manager 中的秘密加密和解密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)。
**重要**  
您必須使用預設 `aws/secretsmanager` 加密金鑰來加密秘密。Amazon ECR 不支援為此使用客戶自管金鑰 (CMK)。

1. 在 **Configure secret** (設定秘密) 頁面上，執行下列動作：

   1. 輸入描述性的 **Secret name** (機密名稱) 和 **Description** (描述)。秘密名稱必須含有 1 至 512 個 Unicode 字元,並且以 `ecr-pullthroughcache/` 作為字首。
**重要**  
Amazon ECR AWS 管理主控台 只會顯示使用 `ecr-pullthroughcache/`字首名稱的 Secrets Manager 秘密。

   1. (選用) 在 **Tags** (標籤) 區段，將標籤新增到秘密。關於標記策略，請參閱 *《AWS Secrets Manager 使用者指南》*中的[標記 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html)。請勿在標籤中存放敏感資訊，因為標籤並未加密。

   1. (選用) 若要將資源政策新增至秘密，請在 **Resource permissions** (資源使用權限) 中選擇 **Edit permissions** (編輯許可)。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[將許可政策連接至 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)。

   1. （選用） 在**複寫秘密**中，若要將秘密複寫至另一個秘密 AWS 區域，請選擇**複寫秘密**。您可以立即複寫秘密，也可以稍後返回複寫。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[將秘密複寫至其他地區](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html)。

   1. 選擇**下一步**。

1. (選用) 在 **Configure rotation** (設定輪換) 頁面上，可開啟自動輪換。您也可以暫時關閉輪換，稍後再將其開啟。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[輪換 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。選擇**下一步**。

1. 在 **Review** (檢閱) 頁面上，檢閱機密詳細資訊，然後選擇 **Store** (存放)。

   Secrets Manager 會傳回秘密清單。如果您的新秘密沒有顯示，請選擇重新整理按鈕。

------
#### [ Chainguard Registry ]

**為您的 Chainguard 登入資料建立 Secrets Manager 秘密 (AWS 管理主控台)**若要建立 Secrets Manager 秘密 (AWS 管理主控台)

1. 前往以下位置開啟機密管理員控制台：[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

1. 選擇 **Store a new secret** (存放新機密)。

1. 在**選擇秘密類型**頁面上，執行下列動作。

   1. 針對**機密類型**，選擇**其他類型的機密**。

   1. 在**金鑰/值對**中，為您的 Chainguard 登入資料建立兩列。秘密當中最多可以存放 65536 個位元組。

      1. 對於第一個金鑰/值對，將 指定`username`為金鑰，將 Chainguard Registry 使用者名稱指定為值。

      1. 對於第二個金鑰/值對，將 指定`accessToken`為金鑰，將 Chainguard Registry 存取權杖指定為值。如需建立 Chainguard 登錄檔提取字符的詳細資訊，請參閱 Chainguard 文件中的[使用提取字符進行驗證](https://edu.chainguard.dev/chainguard/chainguard-images/chainguard-registry/authenticating/#authenticating-with-a-pull-token)。

   1. 針對**加密金鑰**，請保留預設的 **aws/secretsmanager** AWS KMS key 值，接著選擇**下一步**。使用此金鑰無需任何成本。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的 [Secrets Manager 中的秘密加密和解密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)。
**重要**  
您必須使用預設 `aws/secretsmanager` 加密金鑰來加密秘密。Amazon ECR 不支援為此使用客戶自管金鑰 (CMK)。

1. 在 **Configure secret** (設定秘密) 頁面上，執行下列動作：

   1. 輸入描述性的 **Secret name** (機密名稱) 和 **Description** (描述)。秘密名稱必須含有 1 至 512 個 Unicode 字元,並且以 `ecr-pullthroughcache/` 作為字首。
**重要**  
Amazon ECR AWS 管理主控台 只會顯示使用 `ecr-pullthroughcache/`字首名稱的 Secrets Manager 秘密。

   1. (選用) 在 **Tags** (標籤) 區段，將標籤新增到秘密。關於標記策略，請參閱 *《AWS Secrets Manager 使用者指南》*中的[標記 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html)。請勿在標籤中存放敏感資訊，因為標籤並未加密。

   1. (選用) 若要將資源政策新增至秘密，請在 **Resource permissions** (資源使用權限) 中選擇 **Edit permissions** (編輯許可)。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[將許可政策連接至 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)。

   1. （選用） 在**複寫秘密**中，若要將秘密複寫至另一個秘密 AWS 區域，請選擇**複寫秘密**。您可以立即複寫秘密，也可以稍後返回複寫。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[將秘密複寫至其他地區](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html)。

   1. 選擇**下一步**。

1. (選用) 在 **Configure rotation** (設定輪換) 頁面上，可開啟自動輪換。您也可以暫時關閉輪換，稍後再將其開啟。如需詳細資訊，請參閱 *《AWS Secrets Manager 使用者指南》*中的[輪換 Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。選擇**下一步**。

1. 在 **Review** (檢閱) 頁面上，檢閱機密詳細資訊，然後選擇 **Store** (存放)。

   Secrets Manager 會傳回秘密清單。如果您的新秘密沒有顯示，請選擇重新整理按鈕。

------