#node.js #amazon-web-services #amazon-cloudformation #aws-sam #aws-secrets-manager
Вопрос:
я разрабатываю REST API с помощью AWS Lambda, API Gateway и RDS (MySQL). Я использую Node.js.
Чтобы защитить учетные данные базы данных, я посетил веб-консоль AWS и создал новый секрет.
Теперь мне нужно получить доступ к ним в моих лямбда-функциях. Я знаю, что мне нужно назначить SecretsManagerReadWrite
разрешения, но я не знаю, как это сделать.
Ниже приведен мой файл конфигурации CloudFormation.
AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
Description: >
aaaa-restapi
Sample SAM Template for aaaa-restapi
# More info about Globals: https://github.com/awslabs/serverless-application-model/blob/master/docs/globals.rst
Globals:
Function:
Timeout: 100
VpcConfig:
SecurityGroupIds:
- sg-041f2455252528e
SubnetIds:
- subnet-0385252525
Resources:
GetAllAccountingTypesFunction:
Type: AWS::Serverless::Function # More info about Function Resource: https://github.com/awslabs/serverless-application-model/blob/master/versions/2016-10-31.md#awsserverlessfunction
Properties:
CodeUri: aaaa-restapi/
Handler: accountingtypes-getall.getallaccountingtypes
Runtime: nodejs14.x
Events:
HelloWorld:
Type: Api # More info about API Event Source: https://github.com/awslabs/serverless-application-model/blob/master/versions/2016-10-31.md#api
Properties:
Path: /accountingtypes/getallaccountingtypes
Method: get
LambdaRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
Service:
- lambda.amazonaws.com
Action:
- 'sts:AssumeRole'
Path: /
ManagedPolicyArns:
- arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
Policies:
- PolicyName: root
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- ec2:DescribeNetworkInterfaces
- ec2:CreateNetworkInterface
- ec2:DeleteNetworkInterface
- ec2:DescribeInstances
- ec2:AttachNetworkInterface
Resource: '*'
Outputs:
# ServerlessRestApi is an implicit API created out of Events key under Serverless::Function
# Find out more about other implicit resources you can reference within SAM
# https://github.com/awslabs/serverless-application-model/blob/master/docs/internals/generated_resources.rst#api
HelloWorldApi:
Description: "API Gateway endpoint URL for Prod stage for functions"
Value: !Sub "https://${ServerlessRestApi}.execute-api.${AWS::Region}.amazonaws.com/Prod/"
В этом файле, как я могу дать разрешение на мои лямбда-функции?
Комментарии:
1. Вы просто получаете секреты в лямбда-функциях. Это не имеет никакого отношения к облачным формациям.
2. @Marcin: Спасибо, Марчин. Пожалуйста, предоставьте свой комментарий в качестве ответа.
3. @Marcin: еще один вопрос, знаете ли вы, как получить конкретные значения из
secret
? Я могу узнать весь секрет, не проблема, но получить конкретные значения?4. К сожалению, вы не можете запросить часть секрета. Вы получаете всю его стоимость или ничего.
5. Да, я знаю. Я имею в виду, что после получения секрета я должен быть в состоянии сделать
secret.password
что-то вроде или что-то в этом роде, верно? В противном случае я не смогу добавить пароль для доступа к базе данных и так далее…
Ответ №1:
Основываясь на комментариях.
Обычно это делается путем доступа к секретным значениям в вашей лямбда-функции. Для этого потребуется предоставить разрешения роли выполнения lambda для доступа к секрету.
В шаблоне CloudFormation вы можете передать секретное имя (а не его значение) в качестве переменной среды лямбда-функции.