无服务器框架-使用AWS SSM参数存储需要哪些权限?
我要回答这个问题,因为似乎没有这方面的文档,所以我想在尝试和错误中浪费大量时间之后提供答案。
作为背景,Serverless框架允许从.1加载明文和SecureString值。
在执行无服务器部署时,需要哪些权限来访问和加载这些SSM参数存储值?
回答 3
Stack Overflow用户
发布于 2019-05-21 16:30:47
通常,访问和解密AWS SSM参数存储值需要以下3种权限:
ssm:DescribeParametersssm:GetParameterskms:Decrypt
-
下面是一个实际的示例,它只允许访问与我的lambda函数相关的SSM参数(通过遵循常见的命名约定/模式来区分)--它在以下情况下工作:
- SecureString值使用默认的AWS加密密钥加密。
- 所有参数都使用以下命名约定
a.
/${app-name-or-app-namespace}/serverless/${lambda-function-name/then/whatever/else/you/wantb.${lambda-function-name}必须以sls-开头
假设我有一个名为myCoolApp的应用程序和一个名为sls-myCoolLambdaFunction的Lambda函数。也许我想保存数据库配置值,比如用户名和密码。
我将创建两个SSM参数:
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username(明文)/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password(SecureString)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters"
],
"Resource": [
"arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter"
],
"Resource": [
"arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:parameter/myCoolApp/serverless/sls-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:${aws-account-id}:key/alias/aws/ssm"
]
}
]
}然后,在我的serverless.yml文件中,我可以将这两个SSM值引用为函数级环境变量,如下所示
environment:
DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username}
DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password~true}或者,更好的是,如果我想成为超级动态的情况下,我有不同的配置值取决于阶段,我可以设置环境变量如下
environment:
DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/username}
DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/password~true}使用上面的示例,如果我有两个阶段-- dev & prod,也许我会创建以下SSM参数:
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username(明文)/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password(SecureString)/myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/username(明文)/myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/password(SecureString)
Stack Overflow用户
发布于 2019-10-21 20:38:29
我建议使用AWS在代码中获取SSM参数,而不是保存在环境文件中(即.env)。那样就更安全了。您需要为您在action=ssm:GetParameter中使用的角色分配权限,并将资源指向SSM参数存储区中的参数。我使用无服务器框架进行部署。下面是我在serverless.yml中使用模式"{stage}-myproject-*“(例如dev-myproject-username,qa password)来假设参数名称的内容:
custom:
myStage: ${opt:stage}
provider:
name: aws
runtime: nodejs10.x
stage: ${self:custom.myStage}
region: us-east-1
myAccountId: <aws account id>
iamRoleStatements:
- Effect: Allow
Action:
- ssm:GetParameter
Resource: "arn:aws:ssm:${self:provider.region}:${self:provider.myAccountId}:parameter/${self:provider.stage}-myproject-*"Stack Overflow用户
发布于 2021-10-21 11:52:42
在使用ci/cd管道中的代码构建时,不要忘记将ssm授权策略添加到代码构建服务角色中。(当我们谈论ssm时,我们必须区分秘密经理和参数商店)
https://stackoverflow.com/questions/56242715
复制相似问题
腾讯云开发者
