Подключитесь к базе данных Postgres с помощью AWS Secrets Manager

Хотел использовать диспетчер AWS Secrets для входа в postgres без использования имени пользователя и пароля в виде простого текста. я не уверен, возможно ли это, пожалуйста, простите меня, если нет. В настоящее время это то, что я использую для входа в postgres с помощью psycopg2:

 import psycopg2

conn = psycopg2.connect(host="hostname",port='5432',database="db", user="admin", password="12345")

Я уже сохранил имя пользователя и пароль в диспетчере секретов, но не знаю, как его здесь использовать. Пожалуйста помоги


python psycopg2 amazon-web-services aws-secrets-manager
person Bharat Guda    schedule 01.05.2019    source источник

Ответы (3)


arrow_upward
3
arrow_downward

Вы можете сохранить свои учетные данные (имя пользователя / пароль) в SecretsManager с помощью консоли. Вы можете сохранить их как пары ключ-значение, например:

{ "username": "admin", "password": "12345" }

Чтобы использовать это в своем скрипте Python, вы можете сделать что-то вроде этого:

session = boto3.session.Session()
client = session.client(
    service_name='secretsmanager',
    region=< region_name >
)
secret = client.get_secret_value(
         SecretId=secret_name
)
secret_dict = json.loads(secret['SecretString'])

username = secret_dict['username']
passw = secret_dict['password']

conn = psycopg2.connect(host="hostname",port='5432',database="db", user=username, password=passw)

Обратите внимание, что это упрощенный пример без обработки ошибок. Вам также необходимо заполнить правильный регион вместо ‹region_name> в примере.

person Parimal    schedule 01.05.2019
comment
Библиотека boto3 могла измениться с момента этого ответа в 2019 году; аргумент региона теперь region_name. например session.client(service_name='', region_name='') - person developerjack; 06.06.2021

arrow_upward
0
arrow_downward

Вы должны использовать следующий процесс:

  1. подключиться к диспетчеру секретов AWS.
  2. Получите имя пользователя и пароль. Вам нужно отобразить его так, как вы сохранили в диспетчере секретов.
  3. Сохраните это в переменной и передайте в строку подключения.

Ниже приведен пример сценария Python, предоставленный амазонка:

import boto3
import base64
from botocore.exceptions import ClientError


def get_secret():

    secret_name = "<<{{MySecretName}}>>"
    region_name = "<<{{MyRegionName}}>>"

    # Create a Secrets Manager client
    session = boto3.session.Session()
    client = session.client(
        service_name='secretsmanager',
        region_name=region_name
    )

    # In this sample we only handle the specific exceptions for the 'GetSecretValue' API.
    # See https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html
    # We rethrow the exception by default.

    try:
        get_secret_value_response = client.get_secret_value(
            SecretId=secret_name
        )
    except ClientError as e:
        if e.response['Error']['Code'] == 'DecryptionFailureException':
            # Secrets Manager can't decrypt the protected secret text using the provided KMS key.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'InternalServiceErrorException':
            # An error occurred on the server side.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'InvalidParameterException':
            # You provided an invalid value for a parameter.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'InvalidRequestException':
            # You provided a parameter value that is not valid for the current state of the resource.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'ResourceNotFoundException':
            # We can't find the resource that you asked for.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
    else:
        # Decrypts secret using the associated KMS CMK.
        # Depending on whether the secret is a string or binary, one of these fields will be populated.
        if 'SecretString' in get_secret_value_response:
            secret = get_secret_value_response['SecretString']
        else:
            decoded_binary_secret = base64.b64decode(get_secret_value_response['SecretBinary'])

    # Your code goes here.
person Krunal Barot    schedule 01.05.2019
comment
Код, которым вы поделились, я нашел в диспетчере секретов, мой вопрос в том, как передать имя пользователя и пароль в новые переменные и использовать их в строке подключения. Должен ли я сначала выполнить приведенный выше код и передать секретные ключи в поля имени пользователя и пароля? rds = json.dumps (client.get_secret_value (SecretId = postgres) ['SecretString']) - person Bharat Guda; 01.05.2019
comment
Да, выполните приведенный выше код, и строка ниже сохранит это значение в переменной secret ..secret = get_secret_value_response ['SecretString'] ... используйте переменную secret в качестве параметра в строке подключения postgres. - person Krunal Barot; 01.05.2019
comment
Если вы создадите секрет с помощью консоли с парами ключ / значение, он будет сохранен как большой двоичный объект JSON. Вам нужно сначала разобрать JSON на dict, а затем получить доступ к парам ключ / значение. См. Ответ Parimal. - person JoeB; 02.05.2019

arrow_upward
0
arrow_downward

Я создал библиотеку с открытым исходным кодом под названием pysecret, она делает API очень чистым и простым в использовании. Вот документация по интеграции AWS Secret Manager: https://github.com/MacHu-GWU/pysecret-project#aws-key-management-service-and-secret-manager-integration

  1. вручную поместите секретное значение в json или создайте его с помощью pysecret.
from pysecret import AWSSecret

aws_profile = "my_aws_profile"
aws = AWSSecret(profile_name=aws_profile)

secret_id = "my-example-secret"
secret_data = {
    "host": "www.example.com",
    "port": 1234,
    "database": "mydatabase",
    "username": "admin",
    "password": "mypassword",
}
aws.deploy_secret(name=secret_id, secret_data=secret_data) # or you can pass kms_key_id if you created a custom kms key

Тогда вы сможете увидеть, что секрет был создан в вашей консоли aws.

  1. прочтите секретное значение в лямбда-функции или в любом коде Python.
aws = AWSSecret(profile_name=aws_profile) # in lambda code, don't need ``profile_name=aws_profile``
username = aws.get_secret_value(secret_id="my-example-secret", key="password") # admin
password = aws.get_secret_value(secret_id="my-example-secret", key="password") # mypassword

Если вы пишете код для лямбда-функции, вы можете взглянуть на мой другой ответ здесь Использование AWS Secrets Manager с Python (консоль Lambda)

Надеюсь, что это ответ на ваш вопрос.

person MacSanhe    schedule 11.10.2019