我想使用aws lambda update-function-code命令来部署我的函数的代码。这里的问题是,aws cli总是在部署后打印出一些信息。该信息包含明智的信息,例如环境变量及其值。这是不可接受的,因为我将使用公共CI服务,并且我不希望任何人都可以使用该信息。同时,我不想通过将所有命令从aws命令定向到/dev/null来解决此问题,因为在这种情况下,我将丢失有关错误和异常的信息,这将使调试时变得更加困难。我在这里可以做什么?
p.s。不能选择SAM,因为它将迫使我切换到另一个框架并完全改变我正在使用的工作流程。
答案 0 :(得分:0)
您可以通过将这些值替换为 jq
例如,如果您从 cli 命令获得如下输出:
{
"FunctionName": "my-function",
"LastModified": "2019-09-26T20:28:40.438+0000",
"RevisionId": "e52502d4-9320-4688-9cd6-152a6ab7490d",
"MemorySize": 256,
"Version": "$LATEST",
"Role": "arn:aws:iam::123456789012:role/service-role/my-function-role-uy3l9qyq",
"Timeout": 3,
"Runtime": "nodejs10.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "5tT2qgzYUHaqwR716pZ2dpkn/0J1FrzJmlKidWoaCgk=",
"Description": "",
"VpcConfig": {
"SubnetIds": [],
"VpcId": "",
"SecurityGroupIds": []
},
"CodeSize": 304,
"FunctionArn": "arn:aws:lambda:us-west-2:123456789012:function:my-function",
"Handler": "index.handler",
"Environment": {
"Variables": {
"SomeSensitiveVar": "value",
"SomeOtherSensitiveVar": "password"
}
}
}
您可以通过管道将其传递给 jq 并仅在键存在时替换值:
aws lambda update-function-code <args> | jq '
if .Environment.Variables.SomeSensitiveVar? then .Environment.Variables.SomeSensitiveVar = "REDACTED" else . end |
if .Environment.Variables.SomeRandomSensitiveVar? then .Environment.Variables.SomeOtherSensitiveVar = "REDACTED" else . end'
您知道哪些数据是敏感数据,需要对其进行适当设置。您可以查看 cli docs 和 API docs 中返回哪些数据的示例,这也有助于了解结构的外观。
答案 1 :(得分:0)
Lambda 环境变量随处可见,不能视为私有。 如果您的环境变量很敏感,您可以考虑使用 aws secret manager。