无服务器框架-使用AWS SSM参数存储需要什么权限?

时间:2019-05-21 16:30:48

标签: aws-lambda amazon-iam serverless-framework serverless aws-serverless

我要提出这个问题是因为似乎没有关于此的文档,因此,我想在反复试验和浪费大量时间后提供答案。

作为背景,无服务器框架[允许从AWS SSM参数存储中加载纯文本和SecureString值]。1

执行无服务器部署时,需要什么权限来访问和加载这些SSM参数存储值?

2 个答案:

答案 0 :(得分:0)

通常,访问和解密AWS SSM参数存储值需要以下3个权限:

  1. ssm:DescribeParameters
  2. ssm:GetParameter
  3. kms:Decrypt

-

这是一个真实的示例,仅允许访问与我的lambda函数有关的SSM参数(通过遵循通用的命名约定/模式来区分)-它在以下情况下有效:

  1. SecureString值使用默认的AWS SSM加密密钥加密。

  2. 所有参数均使用以下命名约定

    a。 /${app-name-or-app-namespace}/serverless/${lambda-function-name/then/whatever/else/you/want

    b。${lambda-function-name}必须以sls-

    3. 开头

因此,假设我有一个名为myCoolApp的应用程序和一个名为sls-myCoolLambdaFunction的Lambda函数。也许我想保存数据库配置值,例如用户名和密码。

我将创建两个SSM参数:

  1. /myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username(纯文本)

  2. /myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password(SecureString)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeParameters"
            ],
            "Resource": [
                "arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter"
            ],
            "Resource": [
                "arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:parameter/myCoolApp/serverless/sls-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:*:${aws-account-id}:key/alias/aws/ssm"
            ]
        }
    ]
}

然后在我的serverless.yml文件中,我可以将这两个SSM值引用为函数级环境变量,例如

environment:
      DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username}
      DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password~true}

或者,更好的是,如果我想根据阶段具有不同的配置值的情况下超级动态,则可以像这样设置环境变量

environment:
      DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/username}
      DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/password~true}

在上面的示例中,如果我有两个阶段-devprod,也许我会创建以下SSM参数:

  1. /myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username(纯文本)

  2. /myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password(SecureString)

  3. /myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/username(纯文本)

  4. /myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/password(SecureString)

答案 1 :(得分:0)

我建议使用AWS开发工具包在代码中获取SSM参数,而不是保存在环境文件(即.env)中。这样更安全。您需要为与action = ssm:GetParameter一起使用的角色分配权限,并将资源指向SSM参数存储中的参数。我使用无服务器框架进行部署。以下是我在serverless.yml中使用模式“ {stage} -myproject- *”设置参数名称的情况(例如dev-myproject-username,qa-myproject-password):

custom:
  myStage: ${opt:stage}
provider:
  name: aws
  runtime: nodejs10.x
  stage: ${self:custom.myStage}
  region: us-east-1
  myAccountId: <aws account id>
  iamRoleStatements:
    - Effect: Allow
      Action:
        - ssm:GetParameter
      Resource: "arn:aws:ssm:${self:provider.region}:${self:provider.myAccountId}:parameter/${self:provider.stage}-myproject-*"

以下列出了两个有用的资源: where to save credentials? wireless framework IAM doc

相关问题
最新问题