首页 > Golang > Go问答

使用 AWS Golang SecretsManager 缓存客户端的 AWS Lambda 函数的正确资源权限是什么？

来源：stackoverflow

时间：2024-04-07 11:12:36 192浏览收藏

积累知识，胜过积蓄金银！毕竟在Golang开发的过程中，会遇到各种各样的问题，往往都是一些细节知识点还没有掌握好而导致的，因此基础知识点的积累是很重要的。下面本文《使用 AWS Golang SecretsManager 缓存客户端的 AWS Lambda 函数的正确资源权限是什么？》，就带大家讲解一下知识点，若是你对本文感兴趣，或者是想搞懂其中某个知识点，就请你继续往下看吧~

问题内容

我们目前有 aws lambda 函数，使用 aws secret 上的以下资源权限从 aws secret manager 检索 secret（lambda 函数和 secret 属于同一 aws 账户）：

{
  "version" : "2012-10-17",
  "statement" : [ {
    "effect" : "allow",
    "principal" : {
      "aws" : "arn:aws:iam::111111111111:role/mylambda-functionnamerole-1tg1evgpeq8tz"
    },
    "action" : "secretsmanager:getsecretvalue",
    "resource" : "*",
    "condition" : {
      "foranyvalue:stringequals" : {
        "secretsmanager:versionstage" : "awscurrent"
      }
    }
  } ]
}

由于秘密查找更加频繁，我想使用 aws go secretsmanager caching 添加秘密缓存，但收到以下错误消息：

accessdeniedexception：用户：arn：aws：sts :: 111111111111：assumed-role / mylambda-functionname-dnv2m7oyifmx/mylambda-functionname-eofcamxlbov1无权在资源：secrets_key_name上执行：secretsmanager：describesecret

秘密 arn 前缀是：

arn:aws:secretsmanager:us-east-1

创建缓存管理器的代码：

session := session.must(session.newsession(aws.newconfig().withregion("us-east-1")))
secretcache, _ := secretcache.new(
        func(c *secretcache.cache) {
            c.client = secretsmanager.new(session)
        },
    )

以及检索秘密的代码：

secretcache.getsecretstring(secrets_key_name)

我尝试将secretsmanager:describesecret 添加到秘密资源权限中的操作，并更改为secretsmanager:*，但我仍然收到错误消息。我怀疑这与

arn:aws:sts::111111111111:假定角色

但我不确定为什么会请求一个假定的角色（有问题的 lambda 函数和秘密都属于同一个 aws 帐户）或如何修复它。非常感谢任何帮助！

编辑：通过不设置秘密 versionstage，我能够直接使用 secretsmanager api（没有缓存客户端）生成类似的错误消息，尽管文档指出不指定的行为应该像使用“awscurrent”一样，即想要的。认为可能类似，我将缓存客户端代码切换为以下内容，但仍然收到相同的错误：

secretCache.GetSecretStringWithStage(secrets_key_name, "AWSCURRENT")

正确答案

事实证明，这显然与 issue 中提到的类似 - 从秘密资源策略中删除条件可以修复它：

{
      "Version" : "2012-10-17",
      "Statement" : [ {
        "Effect" : "Allow",
        "Principal" : {
          "AWS" : "arn:aws:iam::redacted:role/MyLambdaFunctionNameRole-DNV2M7OYIFMX"
        },
        "Action" : "secretsmanager:GetSecretValue",
        "Resource" : "*"
    }

我不确定为什么调用 getsecretstringwithstage("my_secret_name","awscurrent") 没有像将 versionstage 添加到 secretsmanager api 调用那样解决问题...但那是另一天的事了。

感谢 LRutten 帮助解决这个问题！

理论要掌握，实操不能落！以上关于《使用 AWS Golang SecretsManager 缓存客户端的 AWS Lambda 函数的正确资源权限是什么？》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！

声明：本文转载于：stackoverflow 如有侵犯，请联系study_golang@163.com删除