sud*_*oul 6 amazon-iam aws-lambda serverless-framework serverless aws-serverless
我打开这个问题是因为似乎没有关于此的文档,所以我想在反复试验中浪费大量时间后提供答案。
作为背景,无服务器框架 [允许从 AWS SSM Parameter Store 加载纯文本和 SecureString 值]。1
执行无服务器部署时,访问和加载这些 SSM Parameter Store 值需要什么权限?
sud*_*oul 10
通常,访问和解密 AWS SSM 参数存储值需要以下 3 个权限:
ssm:DescribeParametersssm:GetParameterskms:Decrypt——
这是一个真实世界的例子,它只允许访问与我的 lambda 函数相关的 SSM 参数(通过遵循一个通用的命名约定/模式来区分)——它在以下情况下工作:
所有参数使用以下命名约定
一种。 /${app-name-or-app-namespace}/serverless/${lambda-function-name/then/whatever/else/you/want
湾 ${lambda-function-name}必须以sls-
假设我有一个名为 的应用程序myCoolApp和一个名为 的 Lambda 函数sls-myCoolLambdaFunction。也许我想保存数据库配置值,例如用户名和密码。
我将创建两个 SSM 参数:
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username (纯文本)
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password (安全字符串)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters"
],
"Resource": [
"arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter"
],
"Resource": [
"arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:parameter/myCoolApp/serverless/sls-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:${aws-account-id}:key/alias/aws/ssm"
]
}
]
}
然后在我的 serverless.yml 文件中,我可能会像这样引用这两个 SSM 值作为函数级环境变量
environment:
DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username}
DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password~true}
或者,更好的是,如果我想在根据阶段有不同配置值的情况下变得超级动态,我可以像这样设置环境变量
environment:
DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/username}
DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/password~true}
在上面的示例中,如果我有两个阶段 - dev& prod,也许我会创建以下 SSM 参数:
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username (纯文本)
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password (安全字符串)
/myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/username (纯文本)
/myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/password (安全字符串)
| 归档时间: |
|
| 查看次数: |
3682 次 |
| 最近记录: |