AWS:ssm:GetParameters AccessDeniedException

时间:2017-11-21 14:21:31

标签: javascript node.js amazon-web-services amazon-iam serverless

我试图在js处理程序中获取ssm参数,如下所示:

module.exports.post = (event, context, callback) => {

  var params = {
  Name: 'myParameter',  
  WithDecryption: true || false
};

ssm.getParameter(params, function(err, data) {
  if (err)   console.log(err, err.stack);   
  else       console.log(data);        
});


};

我将以下权限角色添加到我的serverless.yml文件

iamRoleStatements:
  - Effect: Allow
    Action:
      - ssm:GetParameters
      - ssm:GetParameter
      - ssm:DescribeParameters
      - kms:Encrypt
      - kms:Decrypt
    Resource: "*"

使用CLI我可以成功执行aws ssm get-parameter --names myParameter

但是当我调用该函数时,我在cloudWatch中收到以下错误

  

AccessDeniedException:User:myUser无权执行:   ssm:资源上的GetParameter:myResource / myParameter

我尝试使用getParameters函数,获取确切的名称资源但仍然是相同的错误消息。

非常感谢任何帮助。

1 个答案:

答案 0 :(得分:2)

只需使用无服务器创建一个项目,即可按预期工作。

在serverless.yml中设置权限,仅执行代码所需的授予。

serverless.yml

service: poc-lambda-ssm

provider:
  name: aws
  runtime: nodejs8.10
  variableSyntax: "\\${((?!AWS)[ ~:a-zA-Z0-9._'\",\\-\\/\\(\\)]+?)}"
  iamRoleStatements:
  - Effect: Allow
    Action:
      - ssm:GetParameter
    Resource:
      - 'Fn::Join':
        - ':'
        - - 'arn:aws:ssm'
          - Ref: 'AWS::Region'
          - Ref: 'AWS::AccountId'
          - 'parameter/my-secure-param'
  - Effect: Allow
    Action:
      - kms:Decrypt
    Resource:
      - 'Fn::Join':
        - ':'
        - - 'arn:aws:kms'
          - Ref: 'AWS::Region'
          - Ref: 'AWS::AccountId'
          - 'key/alias/aws/ssm'

functions:
  hello_ssm:
    handler: handler.hello_ssm

handler.js

'use strict';

const AWS = require("aws-sdk")

AWS.config = {
    region:"us-east-1"
};

const ssm = new AWS.SSM({apiVersion: '2014-11-06'});

module.exports.hello_ssm = function(event, context, callback) {
  var params = {
    Name: 'my-secure-param', 
    WithDecryption: true 
  };

  ssm.getParameter(params, function(err, data) {
      if (err) callback(err);
      else callback(null,"my secure param is: "+data.Parameter.Value);          
  });
};

并在AWS System Manager中创建了名为 SecureString 的参数 my-secure-param

您还可以检查我的PoC Lambda SSM项目。在这个项目中,我使用无服务器来开发lambda,它通过使用invoke local -f hello_ssm在本地调用。