我需要访问 lambda 函数的一些凭据,一种方法是将它们放入环境变量中。
但是,这些凭据的值在 lambda 控制台中是可见的。我正在考虑将它们放在秘密管理器或参数存储中,并将密钥作为 env 放在 lambda 中。然后在运行时加载 lambda 中的值。
但是,这种方法是安全的,但会产生一些延迟。我不确定它会产生多少延迟。有没有更好的解决方案?
【问题讨论】:
标签: amazon-web-services aws-lambda aws-secrets-manager aws-systems-manager
Lambda 变量实际上已经是encrypted,解密后的值会从控制台显示,但如果用户没有密钥权限,他们将无法看到它们。
正如您所建议的,您有以下解决方案:
使用这两种解决方案的好处是,您可以在您正在使用的 version 之外以及同时跨多个 Lambda 函数更改它们。
您尝试到达这些服务端点的延迟也会增加,这会导致时间略有增加。您可以通过使用 Lambda within a VPC 并在服务中使用VPC endpoints 来减少这种延迟(这将允许通过使用公共互联网进行直接私人通信),但它仍然会比环境变量更长。
这个选择最终适合您,如果您确实需要重用变量并且可以忍受轻微的延迟,那么请使用机密管理器或系统管理器参数存储。否则管理KMS permissions,以便不是每个用户都可以访问获取解密。
【讨论】:
root 进行调用,保存的变量是否可用于下一次 lambda 调用?我认为 lambda 是无状态的,它不共享内存。
the user does not have permission for the key,如何创建策略来阻止用户读取密钥?这里的key是指环境变量吗?