如何在 buildspec.yaml 中检索 Secret Manager 数据

Question

我正在创建与 SonarQube 集成的 CodeBuild，因此我直接在 Buildspec.yaml 中传递值和声纳凭据

我尝试使用以下命令从 SecretManager 中检索，而不是直接进行硬编码，如以下链接中所述。但它没有得到正确的值。它抛出一个错误。

命令：'{{resolve:secretsmanager:MyRDSSecret:SecretString:username}}'

链接：https : //docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html#dynamic-references-secretsmanager

错误[ERROR] SonarQube 服务器 [{{resolve:secretsmanager:arn:aws:secretsmanager:us-east-1:********:secret:**********:SecretString:SonarURL }}] 无法连接

我如何使用echo '{{resolve:secretsmanager:arn:aws:secretsmanager:us-east-1:***:secret:**************:SecretString:**** ***}}'

注意：我的命令中的所有 * 都是 secretname 和 secreturl

Answer 1

如果您希望在构建规范文件中检索机密，我建议您使用与 CodeBuild 本地集成的 Systems Manager Parameter Store。Systems Manager 本身就是一项服务，从 AWS 控制台主页搜索它，然后 Paramater Store 位于 Systems Manager 控制台页面的左下方。

假设您希望在 buildspec.yml 文件中包含访问密钥和秘密密钥：
- 为 IAM 用户创建访问密钥/秘密密钥对
- 将上述密钥保存在 SSM 参数存储中作为安全字符串（例如“/CodeBuild/AWS_ACCESS_KEY_ID”和“ /CodeBuild/AWS_SECRET_ACCESS_KEY')
- 使用以下构建规范指令导出构建环境中的两个值：

version: 0.2
env:
    parameter-store:
        AWS_ACCESS_KEY_ID_PARAM: /CodeBuild/AWS_ACCESS_KEY_ID
        AWS_SECRET_ACCESS_KEY_PARAM: /CodeBuild/AWS_SECRET_ACCESS_KEY

phases:
    build:
        commands:
            - export AWS_ACCESS_KEY_ID=$AWS_ACCESS_KEY_ID_PARAM
            - export AWS_SECRET_ACCESS_KEY=$AWS_SECRET_ACCESS_KEY_PARAM
            # Your Ansible commands below
            - ansible-playbook -i hosts ec2-key.yml 

[1] CodeBuild 的构建规范参考 - 构建规范语法 - https://docs.aws.amazon.com/codebuild/latest/userguide/build-spec-ref.html#build-spec-ref-syntax

Answer 2

您尝试使用的动态参考语法仅适用于 Cloud Formation (CFN) 服务。在某些情况下，CFN 会限制这些对机密的动态引用的扩展位置。具体来说，它们不会在控制台中可能看到机密的地方扩展，例如在 EC2 元数据中。

如果您尝试通过 CFN 设置代码构建，这可能就是您所看到的。但是，正如 shariqmaws 所提到的，您可以使用参数存储并将您的秘密存储在那里，或者使用参数存储作为传递给秘密管理器（以防您想使用秘密管理器来轮换您的秘密或出于其他原因）。

Answer 3

CodeBuild 今天刚刚推出 - https://aws.amazon.com/about-aws/whats-new/2019/11/aws-codebuild-adds-support-for-aws-secrets-manager/