aws-lambda-秘密管理器 - AWS 解决方案构造
概述初始化程序模式构建道具模式属性默认设置架构GitHub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

aws-lambda-秘密管理器

Two labels: "STABILITY" in gray and "EXPERIMENTAL" in orange.

所有类都处于积极开发之中,并且在任何未来版本中都会受到非向后兼容的更改或删除。这些不受语义版本控制模型。这意味着,虽然您可以使用它们,但在升级到此软件包的较新版本时,您可能需要更新源代码。

注意: 为确保正确的功能,您项目中的 AWS 解决方案构造软件包和 AWS CDK 包必须是相同的版本。

语言 程序包
Python 		aws_solutions_constructs.aws_lambda_secretsmanager
TypeScript 		@aws-solutions-constructs/aws-lambda-secretsmanager
Java 		software.amazon.awsconstructs.services.lambdasecretsmanager

Overview

此 AWS 解决方案构造实现了具有最低特权权限的 AWS Lambda 函数和 AWS Secrets Manager 密钥。

以下是 TypeScript 中的最小可部署模式定义:


const { LambdaToSecretsmanagerProps,  LambdaToSecretsmanager } from '@aws-solutions-constructs/aws-lambda-secretsmanager';

const props: LambdaToSecretsmanagerProps = {
    lambdaFunctionProps: {
      runtime: lambda.Runtime.NODEJS_14_X,
      // This assumes a handler function in lib/lambda/index.js
      code: lambda.Code.fromAsset(`${__dirname}/lambda`),
      handler: 'index.handler'
    },
};

new LambdaToSecretsmanager(this, 'test-lambda-secretsmanager-stack', props);

Initializer


new LambdaToSecretsmanager(scope: Construct, id: string, props: LambdaToSecretsmanagerProps);

参数

模式构建道具

名称 类型 描述
现在的兰姆道夫? lambda.Function Lambda 函数对象的现有实例,提供了这个和lambdaFunctionProps会导致错误。
Lambda 功能道具? lambda.FunctionProps 用户提供的道具来覆盖 Lambda 函数的默认道具。
秘密道具? secretsmanager.SecretProps 可选的用户提供的道具来覆盖密码管理器的默认道具。
是否存在秘密烟草? secretsmanager.Secret Secrets Manager 秘密对象的现有实例,如果设置了此项,则secretProps忽略此限制。
授权访问? boolean Lambda 函数对密钥的可选写入访问权限(默认情况下为只读)。
秘密变量名称? string 为 Lambda 函数设置的密钥管理器密钥环境变量的可选名称。
是否存在 VPC? ec2.IVpc 应在其中部署此模式的可选现有 VPC。在 VPC 中部署时,Lambda 函数将使用 VPC 中的 ENI 访问网络资源,并且将在适用于 AWS Secrets Manager 的 VPC 中创建接口终端节点。如果提供了现有 VPC,则deployVpc属性不能true。这使用ec2.IVpc,以允许客户端使用ec2.Vpc.fromLookup()方法。
VPCPROP? ec2.VpcProps 用户提供的可选属性,用于覆盖新 VPC 的默认属性。enableDnsHostnamesenableDnsSupportnatGateways, 和subnetConfiguration是由模式设置的,所以这里提供的这些属性的任何值都将被覆盖。如果deployVpc不是true那么这个属性将被忽略。
部署 VPC? boolean 是否创 VPC 基于vpcProps将此模式部署到其中。将此设置为true将部署最小的、最私有的 VPC 来运行模式:

  • CDK 计划使用的每个可用区内都有一个隔离子网

  • enableDnsHostnamesenableDnsSupport都将被设置为true

如果此属性为true,然后existingVpc则无法指定 。默认值为 false

模式属性

名称 类型 描述
LambdaFunction lambda.Function 返回lambda.Function由构造创建。
密钥 secretsmanager.Secret 返回secretsmanager.Secret由构造创建。
VPC? ec2.IVpc 返回模式使用的 VPC 上的接口(如果有)。这可能是由模式创建的 VPC,也可以是提供给模式构造函数的 VPC。

默认设置

没有任何覆盖的此模式的开箱即用实现将设置以下默认值:

AWS Lambda 函数

  • 为 Lambda 函数配置有限权限访问 IAM 角色。

  • 使用节点 JS Lambda 函数保持活动状态,启用重复使用连接。

  • 启用 X-Ray 跟踪。

  • 设置环境变量:

    • (默认值)SEECT_ARN,其中包含由 CDK 返回的密钥的 ARNSecreate属性

    • AWS_NODEJS_CONNECTION_REUSE_ENABLED(用于节点 10.x 和更高版本的功能)

Amazon Secrets Manager 密钥

  • 启用关联的 AWS Lambda 函数的只读访问

  • 使用帐户和区域的默认 KMS 密钥启用服务器端加密

  • 创建新密钥:

    • (默认)随机名称

    • (默认值)随机值

  • 删除 CloudFormation 堆栈时保留秘密

Architecture

Diagram showing AWS Lambda icon connecting to security and cloud search icons.

GitHub

要查看此模式的代码、创建/查看问题和拉取请求等,请执行以下操作:
Circular icon with a graduation cap symbol representing education or learning.
@aws-解决方案结构/aws-lambda-秘密管理器