那些遇到过的问题

允许 lambda 权限访问 Secretsmanager 值

tru*_*ype 3 amazon-web-services aws-lambda terraform terraform-provider-aws

我正在使用 Terraform 部署需要在 AWS SecretsManager 中保存机密的 lambda。

我有以下缩写的 lambda:

拉姆达


resource "aws_lambda_function" "thisThing" {
  function_name = "functionName"
  runtime = "python3.8"
  handler = "thisThing.handler"

  role = aws_iam_role.lambda_exec.arn
}

resource "aws_iam_role" "lambda_exec" {
  name = "serverless_lambda"

  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [{
      Action = "sts:AssumeRole"
      Effect = "Allow"
      Sid    = ""
      Principal = {
        Service = "lambda.amazonaws.com"
      }
      }
    ]
  })
}

resource "aws_iam_role_policy_attachment" "lambda_policy" {
  role       = aws_iam_role.lambda_exec.name
  policy_arn = "arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole"
}
Run Code Online (Sandbox Code Playgroud)

这是秘密

秘密

# Secrets

resource "aws_secretsmanager_secret" "SECRET" {
  name = "SECRET"
  recovery_window_in_days = 0
}

resource "aws_secretsmanager_secret_version" "SECRET" {
  secret_id     = "${aws_secretsmanager_secret.SECRET.id}"
  secret_string = "${var.SECRET}"
}
Run Code Online (Sandbox Code Playgroud)

我收到的错误是:

[ERROR] ClientError: An error occurred (AccessDeniedException) when calling the GetSecretValue operation: User: arn:aws:sts::439791110569:assumed-role/serverless_lambda/thisThing is not authorized to perform: secretsmanager:GetSecretValue on resource: SECRET because no identity-based policy allows the secretsmanager:GetSecretValue action

这是我第一次使用秘密管理器,我对 AWS 的经验不是很丰富,但我认为根据这里的答案,我需要添加一个策略,允许我的 lambda exec 角色具有GetSecretValue权限。我已经进行了几次尝试,但由于缺乏如何查找不同策略 ARN 的知识,我无法继续下去。

这是我尝试添加的内容(这是错误的,我知道这是错误的。)

resource "aws_iam_role_policy_attachment" "lambda_secretsmanager_role" {
  role = aws_iam_role.lambda_exec.name
  # ? policy_arn = "arn:aws:iam::aws:policy/SecretsManagerGetSecretValue"
}
Run Code Online (Sandbox Code Playgroud)

这不是正确的 ARN,但我不确定在哪里可以找到正确的 ARN。

Mar*_*cin 5

您可以使用aws_iam_role_policy添加权限:

resource "aws_iam_role_policy" "sm_policy" {
  name = "sm_access_permissions"
  role = aws_iam_role.lambda_exec.id

  policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Action = [
          "secretsmanager:GetSecretValue",
        ]
        Effect   = "Allow"
        Resource = "*"
      },
    ]
  })
}
Run Code Online (Sandbox Code Playgroud)

如果您想遵循最小特权权限,那么您可以更改Resource = "*"Resource = "<arn-of-the-secret>".

归档时间:

查看次数:

7274 次

最近记录:

4 年,1 月 前
相关归档
如何访问/ ping位于AWS上的服务器? 34
Amazon Certificate Manager提供LimitExceededException 10
如何让 dynamodb 仅返回某些列 8
我可以在 AWS CDK 中复制 DependsOn 行为吗? 8
限制 Lambda 函数 URL 访问 CloudFront 7
格式错误的输入 - 模板格式错误:每个默认成员必须是一个字符串(Cloudformation模板问题) 6
Cloudformation 脚本生成“未找到默认 VPC 的子网” 6
AWS Cognito - 如何创建备份? 6
Terraform - 将类型对象作为参数传递给 Azure 模板部署 6
如何在 Terraform 中配置 CloudWatch Lambda Insights 5
难疑归档
什么是Python中的元类? 5409
.NET中的decimal,float和double之间的区别? 2015
如何恢复Git中丢失的存储? 1617
图像处理:"可口可乐罐"识别的算法改进 1585
Dockerfile中CMD和ENTRYPOINT有什么区别? 1484
检索HTML元素的位置(X,Y) 1418
为什么在允许某些Unicode字符的注释中执行Java代码? 1326
如何使用jQuery按名称选择元素? 1160
按属性排序自定义对象的ArrayList 1093
获取Android上的当前时间和日期 1058