node.js - 如何在 AWS Lambda 中使用加密的环境变量？-6ren

node.js - 如何在 AWS Lambda 中使用加密的环境变量？

转载作者：搜寻专家更新时间：2023-10-31 22:23:28

26

4

我正在尝试在 Node.js 4.3 中运行的 AWS Lambda 函数中使用加密的环境变量，但在尝试解密变量时代码挂起。我没有收到任何错误消息，它只是超时。这是我尝试过的:

我在与 Lambda 相同的区域创建了加密 key ，并确保运行 Lambda 的角色可以访问该 key 。 (我什至尝试过让角色完全控制 key 。)

在创建 Lambda 时，我启用了加密助手，选择了我的加密 key ，并对环境变量进行了加密:

接下来，我单击“代码”按钮，它会为我提供应该在运行时处理解密的 javascript 代码。这是代码——我所做的唯一更改是添加 console.log 语句并添加了 try/catch:

"use strict";

const AWS = require('aws-sdk');

const encrypted = process.env['DBPASS'];
let decrypted;


function processEvent(event, context, callback) {
    console.log("Decrypted: " + decrypted);
    callback();
}

exports.handler = (event, context, callback) => {
    if (decrypted) {
        console.log('data is already decrypted');
        processEvent(event, context, callback);
    } else {
        console.log('data is NOT already decrypted: ' + encrypted);
        // Decrypt code should run once and variables stored outside of the function
        // handler so that these are decrypted once per container
        const kms = new AWS.KMS();
        console.log('got kms object');
        try {
        var myblob = new Buffer(encrypted, 'base64');
        console.log('got blob');
        kms.decrypt({ CiphertextBlob: myblob }, (err, data) => {
            console.log('inside decrypt callback');
            if (err) {
                console.log('Decrypt error:', err);
                return callback(err);
            }
            console.log('try to get plaintext');
            decrypted = data.Plaintext.toString('ascii');
            console.log('decrypted: ' + decrypted);
            processEvent(event, context, callback);
        });
        }
        catch(e) {
            console.log("exception: " + e);
            callback('error!');
        }
    }
};

这是我运行该函数时得到的结果:

data is NOT already decrypted: AQECAH.....
got kms object
got blob
END RequestId: 9b7af.....
Task timed out after 30.00 seconds

当我运行函数时，它超时了。我看到它打印所有日志语句直到“got blob”然后它就停止了。除了超时之外没有错误消息。我已经尝试增加 Lambda 的超时和内存，但这只会让它在超时前等待更长时间。

当我从未告诉应用程序使用什么解密 key 时，解密应该如何工作？ documentation for decrypt没有提到任何方式来告诉它使用什么解密 key 。而且我没有收到任何错误消息，告诉我它不知道要使用什么 key 或任何东西。

我试过 this tutorial但它只是告诉我做我已经做过的同样的事情。我还阅读了所有 environment variables documentation但它说我正在做的应该会起作用。

最佳答案

解密环境变量需要调用 KMS 服务的 API。为此，您的 Lambda 函数必须能够访问互联网，因为 KMS 没有 VPC 终端 Node 。因此，如果您的 Lambda 在 VPC 中运行，请确保为 VPC 配置了 NAT，以允许您的 Lambda 函数调用 KMS。

关于node.js - 如何在 AWS Lambda 中使用加密的环境变量？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/42114619/

26

4

0

文章推荐： node.js - 如何使 es6 导入/导出在 Nightwatch 测试中起作用？

文章推荐： javascript - 如何创建类似于 Grooveshark 的进度 "bar"？

文章推荐： node.js - 如何在柔性环境下使用 node.js 中的 GAE Memcache

文章推荐： node.js - Sequelize插入连接表(多对多)

aws-sdk - AWS SDK 与 AWS CLI - AWS 云形成 - Terraform
对于在 AWS 云中配置基础设施，我们目前使用从 ansible 角色调用的云形成模板，但我们发现在增加基础设施的规模后，此代码在 GitHub 中变得非结构化或未模块化 Github上有意大利面条式
aws-cloudformation - AWS Cloudformation 创建 AWS Cloudwatch 事件以触发 AWS Batch
我一直在阅读documentation for AWS Cloudwatch events至trigger AWS Batch我不知道如何从 cloudwatch 事件触发 aws 批处理: 在 aw
AWS EKS aws-load-balancer-controller(AWS EKS AWS-负载平衡器控制器)
我正在尝试使用入口控制器安装我的CA证书。我正在遵循这份指南。Https://docs.aws.amazon.com/eks/latest/userguide/aws-load-balancer-co
aws-cloudformation - 如何使用 aws cloudformation 或 aws cdk 设置 aws aurora mysql 表？
如何使用 aws cloudformation 或 aws cdk 设置 aws aurora mysql 表？在我的设置中，我有一个使用 lambda 实现各种微服务的无服务器应用程序。数据库是无
typescript - aws-cdk-lib vs @aws-cdk/core, @aws-cdk/aws-iam, ... 的目的是什么？
我看到了各种使用 AWS CDK 的示例，其中一些使用 aws-cdk-lib，另一些使用 @aws-cdk/core。这些之间有什么区别，什么时候应该使用一个或另一个？最佳答案 aws-cdk-l
typescript - aws-cdk-lib vs @aws-cdk/core, @aws-cdk/aws-iam, ... 的目的是什么？
我看到了各种使用 AWS CDK 的示例，其中一些使用 aws-cdk-lib，另一些使用 @aws-cdk/core。这些之间有什么区别，什么时候应该使用一个或另一个？最佳答案 aws-cdk-l
aws-lambda - AWS Lambda 是否支持 aws-sdk v3？
我在 cdk 研讨会上建立了一个小的 lambda 函数 here .我正在用 typescript 编写 lambda 函数，通过管道进行部署，该管道创建了一个包含 lambda 函数的云形成堆栈。
aws-lambda - 如何在 AWS lambda 中使用 AWS KMS
我刚刚开始使用 AWS 服务，尤其是 AWS Lambda。有没有办法从 Lambda 代码 (Java) 中使用 AWS KMS 服务。我想使用 KMS 来解密加密的外化(从属性读取) secret
aws-cloudformation - AWS CloudFormation - AWS::ElasticLoadBalancingV2::LoadBalancer - 安全组
CFN 模板是否可以根据参数向 ALB 添加一些特定的安全组？我遇到了两个安全组添加到 ALB 的情况: ALB Type: AWS::ElasticLoadBalancingV2::LoadB
security - 一个 AWS 账户上的 AWS 安全组可以引用另一个 AWS 账户上的安全组吗？
例如，我有一个主要公司 AWS 账户，其安全组为 xxxxx。现在我有了我的个人 aws 安全组-yyyyy。这些帐户根本不相关。我可以将接受组-yyyyy 添加到组-xxxxx 中，从而允许我的
aws-lambda - AWS Lambda 的 AWS MSK 触发器 - 同一执行上下文中的多个主题
我有一个 Lambda 函数，它有多个 MSK 触发器配置 - 每个都针对不同的主题。如果 Lambda 的输入 ( MSKEvent ) 可以包含多个不同的主题，则未在官方文档中找到任何信息。官
aws-glue - 来自 AWS secret 管理器的 AWS Glue 连接
在 AWS Glue 中创建 JDBC 连接时，有什么方法可以从 AWS secret manager 获取密码而不是手动硬编码吗？最佳答案我必须在我当前的项目中这样做才能连接到 Cassandr
aws-appsync - : aws-sdk/clients/appsync and aws-appsync?有什么区别
谁能告诉我: aws-sdk/clients/appsync , 和 aws-appsync 根据文档，aws-sdk/clients/appsync使用是因为只包括 aws-sdk当我们只需要 ap
aws-amplify - 如何将现有的 AWS Amplify 后端导入本地的空 AWS Amplify 项目？
我不小心删除了我的放大前端并创建了一个新前端。如何将现有的放大后端导入新创建的放大应用项目文件夹？我按照后端标签上的步骤操作 amplify init --appId(“您的新AMPLIFY APP
aws-glue - 如何使用 AWS java SDK 使用 AWS 胶水作业自动生成脚本
我正在使用 Java Sdk 创建粘合作业。它只有两个必需的参数 Command 和 Glue 版本。但我需要使用自动脚本生成来创建工作。正如我们可以从控制台做的那样，我们添加数据源、AWS Glu
aws-lambda - 有没有办法在 AWS Glue 作业结束时触发 AWS Lambda 函数？
目前我正在使用 AWS Glue 作业将数据加载到 RedShift，但在加载之后我需要运行一些可能使用 AWS Lambda 函数的数据清理任务。有没有办法在 Glue 作业结束时触发 Lambda
aws-lambda - AWS lambda 和 AWS Lambda@EDGE 之间有什么区别？
简单的 aws lambda 和 aws lambda@edge 有什么区别？最佳答案 Lambda 根据某些触发器执行函数。 Lambda 的用例非常广泛，并且与许多 AWS 服务高度集成。您甚至
ruby-on-rails - AWS OpsWorks、AWS Beanstalk 与 AWS CloudFormation？
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 个月前。社区 9
aws-cdk - 无法使用 python 使用 AWS-CDK 创建 AWS 管理的事件目录
我正在尝试使用 Python 使用 AWS-CDK 创建托管广告。以下是错误，从 JavaScriptError(resp.stack) 引发 JSIIError(resp.error)jsii.er
javascript - @aws-cdk/pipelines 和 @aws-cdk/aws-codepipeline 有什么区别？
这两个包似乎在很大程度上做同样的事情？这两个包之间的预期区别是什么，我应该使用哪个包？最佳答案 Pipelines 是较新的 --experimental-- (编辑:它不再在 Experiment

首页

博学

6Ren·AI

商城

node.js - 如何在 AWS Lambda 中使用加密的环境变量？