个人中心
gpt4 book ai didi

aws-lambda - 无服务器框架 - 我需要哪些权限才能使用 AWS SSM 参数存储?

转载 作者:行者123 更新时间:2023-12-01 13:57:38 25 4
gpt4 key购买 nike

我打开这个问题是因为似乎没有这方面的文档,所以我想在浪费了很多时间在反复试验之后提供答案。

作为背景,无服务器框架 [允许从 AWS SSM 参数存储加载纯文本和 SecureString 值]。 1

执行无服务器部署时访问和加载这些 SSM 参数存储值需要哪些权限?

最佳答案

通常,访问和解密 AWS SSM 参数存储值需要以下 3 个权限:

  • ssm:DescribeParameters
  • ssm:GetParameters
  • kms:Decrypt

    • -

    这是一个真实世界的示例,它只允许访问与我的 lambda 函数相关的 SSM 参数(通过遵循通用命名约定/模式来区分) - 它在以下情况下工作:
  • SecureString 值使用默认的 AWS SSM 加密 key 进行加密。
  • 所有参数都使用以下命名约定

    一种。 /${app-name-or-app-namespace}/serverless/${lambda-function-name/then/whatever/else/you/want
    湾。 ${lambda-function-name}必须以 sls- 开头

    • 假设我有一个名为 myCoolApp 的应用程序,以及一个名为 sls-myCoolLambdaFunction 的 Lambda 函数.也许我想保存数据库配置值,例如用户名和密码。

    我将创建两个 SSM 参数:
  • /myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username (明文)
  • /myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password (安全字符串)

    • {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ssm:DescribeParameters"
                ],
                "Resource": [
                    "arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ssm:GetParameter"
                ],
                "Resource": [
                    "arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:parameter/myCoolApp/serverless/sls-*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "kms:Decrypt"
                ],
                "Resource": [
                    "arn:aws:kms:*:${aws-account-id}:key/alias/aws/ssm"
                ]
            }
        ]
    }

    然后在我的 serverless.yml 文件中,我可能会将这两个 SSM 值引用为函数级环境变量,如下所示 
    environment:
          DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username}
          DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password~true}

    或者,更好的是,如果我想在根据阶段有不同配置值的情况下变得 super 动态,我可以像这样设置环境变量 
    environment:
          DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/username}
          DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/password~true}

    在上面这个例子中,如果我有两个阶段 - dev & prod ,也许我会创建以下 SSM 参数:
  • /myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username (明文)
  • /myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password (安全字符串)
  • /myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/username (明文)
  • /myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/password (安全字符串)

    • 关于aws-lambda - 无服务器框架 - 我需要哪些权限才能使用 AWS SSM 参数存储?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56242715/

    25 4 0
    文章推荐: google-refine - Cell.cross() 在 Google Refine 项目中返回错误
    文章推荐: Redmine:检查用户是否具有特定权限
    文章推荐: tcl - 这个说法有什么问题
    文章推荐: java - 隐藏 Jetty Web 应用程序用户的目录
    行者123
    个人简介

    我是一名优秀的程序员,十分优秀!

    滴滴打车优惠券免费领取
    滴滴打车优惠券
    全站热门文章
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com