Добавление секрета aws из диспетчера секретов в переменную среды лямбда в конфигурации пользовательского интерфейса портала

Итак, я хочу поместить сюда секрет секретного менеджера, но, похоже, он не преобразует или не получает значения. Есть ли вообще возможность поставить это здесь. Другим решением было бы поместить его в развертывание или оставить в таком виде, и иметь код в моей функции, захватить это значение, а затем выполнить поиск. Я склоняюсь к тому, чтобы развернуть его, так как это сэкономит время на поиски.

лямбда-среда var


amazon-web-services aws-lambda aws-secrets-manager
person Dan Parker    schedule 06.02.2020    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Вы определенно не должны помещать его в deploy. Это приведет к отображению его значения в консоли (или через вызовы API). Вы должны разрешить это в своем коде. Вы можете предоставить своей функции разрешения на получение ее значения, чтобы ее видела только функция, а не пользователи, которые могут видеть функцию в консоли.

person Jason Wadsworth    schedule 06.02.2020
comment
Есть способы сделать это при развертывании, я использую azure DevOps, я могу поместить его туда и использовать лазурное хранилище, и оно скроет значение на консоли развертывания - person Dan Parker; 06.02.2020
comment
Но это будет отображаться в консоли AWS. Я предполагаю, что вы показываете переменные среды. - person Jason Wadsworth; 06.02.2020
comment
Да, я не против, только те, у кого есть доступ, могут видеть эту конфигурацию - person Dan Parker; 06.02.2020
comment
Очевидно, что вы можете делать то, что хотите, но это небезопасно. Типичный процесс заключается в использовании KMS для шифрования ключей, но если он у вас уже есть в диспетчере секретов, это как бы излишне. docs.aws.amazon.com/ лямбда / последний / дг / - person Jason Wadsworth; 06.02.2020
comment
Так что, если я просто передам арену секретов и посмотрю, это сработает. Я полагаю, что мои функции работают не слишком быстро, чтобы возникать проблемы с производительностью. Полагаю, я просто проверю цены на поисковые запросы в месяц, это будет единственным недостатком. Я считаю, что ваша точка зрения небезопасна, во всяком случае, предположим, KMS или это. Просто подумал, что будет более простой способ, как у лазурного - person Dan Parker; 06.02.2020
comment
Цена составляет 0,05 доллара США за 10 000 запросов. Обычно я смотрю его при загрузке (холодный запуск) и сохраняю в памяти. Если вам нужно убедиться, что он не изменился, вы можете использовать какой-то истекающий кеш. - person Jason Wadsworth; 06.02.2020
comment
Проблема в том, что лямбда - это всегда холодный старт, я полагаю, стоит не так много. Даже если это 1 миллион звонков, это всего 5 долларов. - person Dan Parker; 06.02.2020
comment
@DanParker, да, я бы назвал api secretmanager от Lambda. Вы также можете использовать это - github.com/aws/aws-secretsmanager-caching-python < / а>. Вы сомневаетесь только в задержке отправки запроса api? - person committedandroider; 07.02.2020
comment
Если лямбда - это всегда холодный старт, вы можете изучить подготовленный параллелизм. В некоторых случаях это действительно может снизить ваши затраты (из-за сокращения холодных запусков), но, как минимум, это сокращает холодные запуски с небольшими дополнительными затратами. - person Jason Wadsworth; 07.02.2020
comment
Даже если это 20 долларов в месяц, это ничто по сравнению с остальной системой и технически более безопасно, и я могу изменить значение в одном месте, и оно изменится во всех различных функциях, которые у меня есть. Это лучше в долгосрочной перспективе. - person Dan Parker; 07.02.2020
comment
Было бы здорово, если бы вы могли сохранить там ссылку на секретное значение, например, лазурь. почему бы не сделать это проще для всех. - person Dan Parker; 07.02.2020