个人中心
gpt4 book ai didi

amazon-web-services - AWS Pipeline buildspec 拒绝访问 SecretManager,但已授权部署的 Beanstalk 实例

转载 作者:行者123 更新时间:2023-12-04 14:16:21 33 4
gpt4 key购买 nike

我们设置了一个 MyReadOnlySecretServer Policy 作为:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:REGION:SOME_ID:secret:ID_OF_OUR_SECRET_JSON"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetRandomPassword",
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        }
    ]
}

我们在 Elastic Beanstalk 上部署了一个 SpringBoot 应用程序,并成功地在生产中检索和使用了 secret 。

但是,不知何故,当我们仍处于管道的构建阶段时,显然我们的 CodeStarWorker 无法读取这些值。这是异常(exception):

software.amazon.awssdk.services.secretsmanager.model.SecretsManagerException: User: arn:aws:sts::SOME_ID:assumed-role/CodeStarWorker-blabla-ToolChain/AWSCodeBuild-some-long-id is not authorized to perform: secretsmanager:GetSecretValue on resource: arn:aws:secretsmanager:REGION:SOME_ID:secret:ID_OF_OUR_SECRET_JSON (Service: SecretsManager, Status Code: 400, Request ID: some-other-long-id)

我们在部署时尝试访问 secret 时遇到此异常,将 MyReadOnlySecretServer 策略添加到 IAM 角色 CodeStarWorker-blabla-ToolChain 中,如异常所述,事情就解决了。

然而,不知何故,现在我们尝试在 buildspec.yml 中运行 mvn test,我们得到了同样的异常。

为什么我们的 buildspec.yml 被拒绝访问,尽管它是由执行“源代码 + 构建 + 部署”阶段的同一代码管道运行的?部署后,该实例可以访问,但在构建时却没有。

这是buildspec.yml:

version: 0.2

phases:
  install:
    runtime-versions:
      java: openjdk8
    commands:
      # Upgrade AWS CLI to the latest version
      - pip install --upgrade awscli
  pre_build:
    commands:
      - cd $CODEBUILD_SRC_DIR
      - mvn clean compile test  # commenting this "test" makes it run properly
  build:
    commands:
      - mvn war:exploded
  post_build:
    commands:
      - cp -r .ebextensions/ target/ROOT/
      - aws cloudformation package --template template.yml --s3-bucket $S3_BUCKET --output-template-file template-export.yml
      # Do not remove this statement. This command is required for AWS CodeStar projects.
      # Update the AWS Partition, AWS Region, account ID and project ID in the project ARN on template-configuration.json file so AWS CloudFormation can tag project resources.
      - sed -i.bak 's/\$PARTITION\$/'${PARTITION}'/g;s/\$AWS_REGION\$/'${AWS_REGION}'/g;s/\$ACCOUNT_ID\$/'${ACCOUNT_ID}'/g;s/\$PROJECT_ID\$/'${PROJECT_ID}'/g' template-configuration.json
artifacts:
  type: zip
  files:
    - target/ROOT/**/*
    - .ebextensions/**/*
    - 'template-export.yml'
    - 'template-configuration.json'

最佳答案

在我看来,CodeBuild 承担了“CodeStarWorker-blabla-ToolChain”角色,而角色本身没有“secretsmanager:GetSecretValue”权限。此外,根据内存,CodeStarWorker 角色有一个权限边界,即使您已经明确添加了所需的权限,它也可能会阻止访问。这里讨论了一个类似的问题:

关于amazon-web-services - AWS Pipeline buildspec 拒绝访问 SecretManager,但已授权部署的 Beanstalk 实例,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59830805/

33 4 0
文章推荐: python - 如何将 .px 文件转换为数据框
文章推荐: javascript - offsetTop 返回 0
文章推荐: perl - 无法使用 cpan 安装 perl 模块
文章推荐: javascript - 将 HTML 元素推送到一个数组中,稍后将它们追加到一个 div 中,该 div 也是动态创建的
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com