- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我在 Secrets Manager
中有一个 secret 键值对在 us-east-1
中的 Account-1 中.这个 secret 是使用客户管理的 KMS key 加密的 - 我们称之为 KMS-Account-1
.所有这些都是通过控制台创建的。
现在我们转向 CDK
.我们有cdk.pipelines.CodePipeline
部署Lambda
到多个阶段/环境 - 所以第一个到 { Account-2, us-east-1 }
然后到{ Account-3, eu-west-1
} 等等。这已经完成了。
上述所有阶段/环境中的 lambda 代码现在需要更改为使用 Account-1 的 us-east-1
中存在的 secret 键值对SecretsManager
通过 secretsmanager
获取客户。该代码应该看起来像这样(python
):
client = boto3.session.Session().client(
service_name = 'secretsmanager',
region_name = 'us-east-1'
)
resp = client.get_secret_value(
SecretId='arn:aws:secretsmanager:us-east-1:<ACCOUNT-1>:secret:name/of/the/secret'
)
secret = json.loads(resp['SecretString'])
各种帐户和区域(即环境)中的所有 lambda 将具有与上述完全相同的代码,因为需要从 us-east-1
中的 Account-1 获取 key 。 .
cdk
代码来促进这一点?代码管道中的代码部署如何获得导入此自定义的权限kms
键和 SecretManager' secret
并通过 cdk 管道创建的 lambda 应用正确的跨账户访问权限?有人可以指点一下吗?
最佳答案
这有点棘手,因为 CloudFormation 和 CDK 不允许跨帐户/跨阶段引用,因为据我了解,CloudFormation 导出不能跨帐户工作。所有这些“集中”资源模式都属于这一类——即。其他阶段引用的一个帐户(或 CDK 中的阶段)中的资源。
如果资源是在 CDK 上下文之外创建的(例如通过控制台),那么您不妨硬编码名称/arns/etc。在整个 CDK 代码中使用它应该足够了。
如果创建也在 CDK 代码本身中完成(即由 CloudFormation 管理 - 不是通过控制台/aws-cli 等单独完成),它会变得更有趣。在这种情况下,很多时候您不会“知道”确切的 ARN,因为物理 ID 将由 CloudFormation 生成并且可能是 ARN 的一部分。即使您自己影响物理ID(例如通过硬编码存储桶名称)也可能无法在所有情况下解决它。例如。 KMS ARNs
和 SecretManager ARNs
将唯一 ID 或某种散列附加到 ARN
的末尾。
与其尝试解决所有这些问题,不如保持不变,让 CFn
生成它选择的任何随机名称/arn。然后要引用这些构造/ARN,只需将它们放入源/中央帐户的 SSM 参数中。 SSM 没有我所知道的基于资源的策略。因此,另外在 cdk 中创建一个信任您的 cdk 代码中的帐户的角色。完成后,不再需要维护 - 每次您将新环境/帐户添加到 CDK 时(假设这里是 cdk 管道),您将创建的“循环”构造将自动将新帐户添加到信任关系中。
现在您需要做的就是将此角色-arn 和 SSM 参数名称分发到其他阶段。选择明确的角色名称和 SSM 参数。给定角色名的手动 ARN 构造非常简单。因此,将 CDK 代码周围的 SSM 参数和 SSM 参数分发到其他阶段(编译时间字符串而不是引用)。在目标阶段,创建由 AwsSdkCall
lambda 支持的自定义资源 (AWSCustomResource
) 以简单地承担此角色并进行 SDK 调用以检索 SSM 参数值.这些值可以是您无法轻易猜到的任何值,例如您的 KMS ARN、SecretManager 的完整 ARN 等。现在只需使用这些。
迂回的方式来做一件简单的事情,但到目前为止,我能做的就是让它工作。
#You need to maintain this list no matter what you do - so it's nothing extra
all_other_accounts = [ <list of accounts that this cdk deploys to> ]
account_principals = [iam.AccountPrincipal(a) for a in all_other_account]
role = iam.Role(
assumed_by = iam.CompositePrincipal(*account_principals), #auto-updated as you change the list above
role_name = some_explicit_name,
...
)
role_arn = f'arn:aws:iam::<account-of-this-stack>:role/{some_explicit_name}'
kms0 = kms.Key(...)
kms0.grant_decrypt(role)
# Because KMS also needs explicit resource policy even if role policy allows access to it
kms0.add_to_role_policy(iam.PolicyStatement(principals = [iam.ArnPrincipal(role_arn)], actions = ...))
kms1 = kms.Key(...)
kms1.grant_decrypt(role)
kms0.add_to_role_policy(... same as above ...)
secrets0 = secretsmanager.Secret(...) #maybe this is based off kms0
secrets0.grant_read(role)
secrets1 = secretsmanager.Secret(...) #maybe this is based off kms1
secrets1.grant_read(role)
# You can turn all this into a loop ofc.
ssm0 = ssm.StingParameter(self, '...', parameter_name = 'kms0_arn', string_value = kms0.key_arn, ...)
ssm0.grant_read(role)
ssm1 = ssm.StingParameter(self, '...', parameter_name = 'kms1_arn', string_value = kms1.key_arn, ...)
ssm1.grant_read(role)
ssm2 = ssm.StingParameter(self, '...', parameter_name = 'secrets0_arn', string_value = secrets0.secret_full_arn, ...)
ssm2.grant_read(role)
...
#Now simply pass around the role and ssm parameter names
for env in environments:
MyApplicationStage(self, <...>, ..., role_arn = role_arn, params = [ 'kms0_arn', 'kms1_arn', ... ], ...)
然后在目标阶段:
for parm in params:
fn = AwsSdkCall('ssm', 'get_parameter', { "Name": param }, ...)
acr = AwsCustomResource(..., on_create = fn, on_update = fn, ...)
collect['param'] = acr.get_response_field('Parameter.Value')
现在对收集的工件做任何你想做的事情,包括将它们作为环境变量提供给你的主服务 lambda(这将在部署时解决)。
请记住,它们都将是 token 并且仅在部署时解析,但任何资源都是如此,无论是否通过自定义资源,这都无关紧要。
这是一个适用于任何情况的通用模式。
( GitHub link where this question was asked and I had answered it there too )
关于aws-lambda - AWS-CDK:跨账户资源访问和资源引用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69844990/
对于在 AWS 云中配置基础设施,我们目前使用从 ansible 角色调用的云形成模板,但我们发现在增加基础设施的规模后,此代码在 GitHub 中变得非结构化或未模块化 Github上有意大利面条式
我一直在阅读documentation for AWS Cloudwatch events至trigger AWS Batch我不知道如何从 cloudwatch 事件触发 aws 批处理: 在 aw
我正在尝试使用入口控制器安装我的CA证书。我正在遵循这份指南。Https://docs.aws.amazon.com/eks/latest/userguide/aws-load-balancer-co
如何使用 aws cloudformation 或 aws cdk 设置 aws aurora mysql 表? 在我的设置中,我有一个使用 lambda 实现各种微服务的无服务器应用程序。数据库是无
我看到了各种使用 AWS CDK 的示例,其中一些使用 aws-cdk-lib,另一些使用 @aws-cdk/core。这些之间有什么区别,什么时候应该使用一个或另一个? 最佳答案 aws-cdk-l
我看到了各种使用 AWS CDK 的示例,其中一些使用 aws-cdk-lib,另一些使用 @aws-cdk/core。这些之间有什么区别,什么时候应该使用一个或另一个? 最佳答案 aws-cdk-l
我在 cdk 研讨会上建立了一个小的 lambda 函数 here .我正在用 typescript 编写 lambda 函数,通过管道进行部署,该管道创建了一个包含 lambda 函数的云形成堆栈。
我刚刚开始使用 AWS 服务,尤其是 AWS Lambda。有没有办法从 Lambda 代码 (Java) 中使用 AWS KMS 服务。我想使用 KMS 来解密加密的外化(从属性读取) secret
CFN 模板是否可以根据参数向 ALB 添加一些特定的安全组? 我遇到了两个安全组添加到 ALB 的情况: ALB Type: AWS::ElasticLoadBalancingV2::LoadB
例如,我有一个主要公司 AWS 账户,其安全组为 xxxxx。现在我有了我的个人 aws 安全组-yyyyy。这些帐户根本不相关。我可以将接受组-yyyyy 添加到组-xxxxx 中,从而允许我的
我有一个 Lambda 函数,它有多个 MSK 触发器配置 - 每个都针对不同的主题。 如果 Lambda 的输入 ( MSKEvent ) 可以包含多个不同的主题,则未在官方文档中找到任何信息。 官
在 AWS Glue 中创建 JDBC 连接时,有什么方法可以从 AWS secret manager 获取密码而不是手动硬编码吗? 最佳答案 我必须在我当前的项目中这样做才能连接到 Cassandr
谁能告诉我: aws-sdk/clients/appsync , 和 aws-appsync 根据文档,aws-sdk/clients/appsync使用是因为只包括 aws-sdk当我们只需要 ap
我不小心删除了我的放大前端并创建了一个新前端。如何将现有的放大后端导入新创建的放大应用项目文件夹? 我按照后端标签上的步骤操作 amplify init --appId(“您的新AMPLIFY APP
我正在使用 Java Sdk 创建粘合作业。它只有两个必需的参数 Command 和 Glue 版本。 但我需要使用自动脚本生成来创建工作。正如我们可以从控制台做的那样,我们添加数据源、AWS Glu
目前我正在使用 AWS Glue 作业将数据加载到 RedShift,但在加载之后我需要运行一些可能使用 AWS Lambda 函数的数据清理任务。有没有办法在 Glue 作业结束时触发 Lambda
简单的 aws lambda 和 aws lambda@edge 有什么区别? 最佳答案 Lambda 根据某些触发器执行函数。 Lambda 的用例非常广泛,并且与许多 AWS 服务高度集成。您甚至
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 个月前。 社区 9
我正在尝试使用 Python 使用 AWS-CDK 创建托管广告。以下是错误,从 JavaScriptError(resp.stack) 引发 JSIIError(resp.error)jsii.er
这两个包似乎在很大程度上做同样的事情?这两个包之间的预期区别是什么,我应该使用哪个包? 最佳答案 Pipelines 是较新的 --experimental-- (编辑:它不再在 Experiment
我是一名优秀的程序员,十分优秀!