无服务器框架 - 使用 AWS SSM Parameter Store 需要哪些权限?
Serverless Framework - What permissions do I need to use AWS SSM Parameter Store?
我打开这个问题是因为似乎没有这方面的文档,所以我想在试验和错误中浪费大量时间后提供答案。
作为背景,无服务器框架[允许从 AWS SSM Parameter Store 加载纯文本和 SecureString 值]。1
执行无服务器部署时,访问和加载这些 SSM Parameter Store 值需要什么权限?
一般来说,访问和解密 AWS SSM 参数存储值需要以下 3 个权限:
ssm:DescribeParametersssm:GetParameterskms:Decrypt
-
这是一个真实世界的例子,它只允许访问与我的 lambda 函数相关的 SSM 参数(通过遵循通用命名 convention/pattern 来区分)- 它在以下情况下工作:
- SecureString 值使用默认的 AWS SSM 加密密钥加密。
所有参数使用以下命名约定
一个。 /${app-name-or-app-namespace}/serverless/${lambda-function-name/then/whatever/else/you/want
b.${lambda-function-name} 必须以 sls-
假设我有一个名为 myCoolApp 的应用程序和一个名为 sls-myCoolLambdaFunction 的 Lambda 函数。也许我想保存数据库配置值,例如用户名和密码。
我会创建两个 SSM 参数:
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username(明文)
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password (SecureString)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters"
],
"Resource": [
"arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter"
],
"Resource": [
"arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:parameter/myCoolApp/serverless/sls-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:${aws-account-id}:key/alias/aws/ssm"
]
}
]
}
然后在我的 serverless.yml 文件中,我可能会像这样将这两个 SSM 值引用为函数级环境变量
environment:
DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username}
DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password~true}
或者,更好的是,如果我想在根据阶段具有不同配置值的情况下变得超级动态,我可以像这样设置环境变量
environment:
DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/username}
DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/password~true}
对于上面的示例,如果我有两个阶段 - dev 和 prod,也许我会创建以下 SSM 参数:
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username(明文)
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password (SecureString)
/myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/username(明文)
/myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/password (SecureString)
我建议使用 AWS SDK 在代码中获取 SSM 参数,而不是保存在环境文件(即 .env)中。那样更安全。您需要为使用 action=ssm:GetParameter 的角色分配权限,并将资源指向 SSM 参数存储中的参数。我使用无服务器框架进行部署。以下是我在 serverless.yml 中使用模式“{stage}-myproject-*”(例如 dev-myproject-username、qa-myproject-password)假设参数名称的内容:
custom:
myStage: ${opt:stage}
provider:
name: aws
runtime: nodejs10.x
stage: ${self:custom.myStage}
region: us-east-1
myAccountId: <aws account id>
iamRoleStatements:
- Effect: Allow
Action:
- ssm:GetParameter
Resource: "arn:aws:ssm:${self:provider.region}:${self:provider.myAccountId}:parameter/${self:provider.stage}-myproject-*"
下面列出了两个有用的资源:
where to save credentials?
wireless framework IAM doc
如果您在 ci/cd 管道中使用代码构建,请不要忘记将 ssm 授权策略添加到代码构建服务角色。 (当我们谈论 ssm 时,我们必须区分 secretsmanager 和 parametstore)
我打开这个问题是因为似乎没有这方面的文档,所以我想在试验和错误中浪费大量时间后提供答案。
作为背景,无服务器框架[允许从 AWS SSM Parameter Store 加载纯文本和 SecureString 值]。1
执行无服务器部署时,访问和加载这些 SSM Parameter Store 值需要什么权限?
一般来说,访问和解密 AWS SSM 参数存储值需要以下 3 个权限:
ssm:DescribeParametersssm:GetParameterskms:Decrypt
-
这是一个真实世界的例子,它只允许访问与我的 lambda 函数相关的 SSM 参数(通过遵循通用命名 convention/pattern 来区分)- 它在以下情况下工作:
- SecureString 值使用默认的 AWS SSM 加密密钥加密。
所有参数使用以下命名约定
一个。
/${app-name-or-app-namespace}/serverless/${lambda-function-name/then/whatever/else/you/wantb.
${lambda-function-name}必须以sls- 开头
假设我有一个名为 myCoolApp 的应用程序和一个名为 sls-myCoolLambdaFunction 的 Lambda 函数。也许我想保存数据库配置值,例如用户名和密码。
我会创建两个 SSM 参数:
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username(明文)/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password(SecureString)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters"
],
"Resource": [
"arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter"
],
"Resource": [
"arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:parameter/myCoolApp/serverless/sls-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:${aws-account-id}:key/alias/aws/ssm"
]
}
]
}
然后在我的 serverless.yml 文件中,我可能会像这样将这两个 SSM 值引用为函数级环境变量
environment:
DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username}
DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password~true}
或者,更好的是,如果我想在根据阶段具有不同配置值的情况下变得超级动态,我可以像这样设置环境变量
environment:
DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/username}
DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/password~true}
对于上面的示例,如果我有两个阶段 - dev 和 prod,也许我会创建以下 SSM 参数:
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username(明文)/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password(SecureString)/myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/username(明文)/myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/password(SecureString)
我建议使用 AWS SDK 在代码中获取 SSM 参数,而不是保存在环境文件(即 .env)中。那样更安全。您需要为使用 action=ssm:GetParameter 的角色分配权限,并将资源指向 SSM 参数存储中的参数。我使用无服务器框架进行部署。以下是我在 serverless.yml 中使用模式“{stage}-myproject-*”(例如 dev-myproject-username、qa-myproject-password)假设参数名称的内容:
custom:
myStage: ${opt:stage}
provider:
name: aws
runtime: nodejs10.x
stage: ${self:custom.myStage}
region: us-east-1
myAccountId: <aws account id>
iamRoleStatements:
- Effect: Allow
Action:
- ssm:GetParameter
Resource: "arn:aws:ssm:${self:provider.region}:${self:provider.myAccountId}:parameter/${self:provider.stage}-myproject-*"
下面列出了两个有用的资源: where to save credentials? wireless framework IAM doc
如果您在 ci/cd 管道中使用代码构建,请不要忘记将 ssm 授权策略添加到代码构建服务角色。 (当我们谈论 ssm 时,我们必须区分 secretsmanager 和 parametstore)