53ningen.com53ningen.com
Loading...

Secrets Manager を使ってみる

2021/01/18 11:09
2024/12/30 17:54
Programming
SAM
CDK
Lambda
Serverless

Secrets Manager への値の格納と取得

チュートリアルに書いてある内容をためしてみる。CLI からまずはシークレットの作成を行う
$ aws secretsmanager create-secret --name tutorials/MyFirstSecret --description "Basic Create Secret" --secret-string S3@tt13R0cks
続いて格納したシークレットのメタデータ、およびシークレットそのものを取得する
$ aws secretsmanager describe-secret --secret-id tutorials/MyFirstSecret
{
    "ARN": "...",
    "Name": "tutorials/MyFirstSecret",
    "Description": "Basic Create Secret",
    "LastChangedDate": ...,
    "LastAccessedDate": ...,
    "VersionIdsToStages": {
        "...": [
            "AWSCURRENT"
        ]
    }
}

$ aws secretsmanager get-secret-value --secret-id tutorials/MyFirstSecret --version-stage AWSCURRENT
{
    "ARN": "...",
    "Name": "tutorials/MyFirstSecret",
    "VersionId": "...",
    "SecretString": "S3@tt13R0cks",
    "VersionStages": [
        "AWSCURRENT"
    ],
    "CreatedDate": ...
}

Secrets Manager に格納した値を Lambda から取得する

Lambda 関数の実装を以下のように行う
# -*- coding: utf-8 -*-
import os
import json
import boto3

SecretId = os.environ["SecretId"]
secrets = boto3.client(service_name='secretsmanager')


def lambda_handler(event, _):
    res = secrets.get_secret_value(SecretId=SecretId)

    # 注: 動作確認のため出力しているが、
    # CWLogs に記録されるので実際のプロダクトでは絶対にこのようなコードは書かない
    print(res)
    return json.loads(res['SecretString'])
SAM テンプレートは以下のような感じ
AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31

Globals:
  Function:
    Timeout: 10
    Runtime: python3.8
    Environment:
      Variables:
        SecretId: !Ref TestSecret
Resources:
  TestSecret:
    Type: AWS::SecretsManager::Secret
    Properties:
      Description: 'Secrets Test'
      GenerateSecretString:
        SecretStringTemplate: '{"username": "admin"}'
        GenerateStringKey: 'password'
        PasswordLength: 16
        ExcludeCharacters: '"@/\'
  WorkerFunction:
    Type: AWS::Serverless::Function
    Properties:
      CodeUri: worker/
      Handler: app.lambda_handler
      Policies:
        - AWSSecretsManagerGetSecretValuePolicy:
            SecretArn: !Ref TestSecret
  WorkerFunctionLogGroup:
    Type: AWS::Logs::LogGroup
    Properties:
      LogGroupName: !Sub /aws/lambda/${WorkerFunction}
      RetentionInDays: 1

CDK で Secret を管理する

TypeScript で Lambda を次のように実装
const AWS = require('aws-sdk')

const secretsmanager = new AWS.SecretsManager({apiVersion: '2017-10-17'})
const env = process.env

const handler = async function (event: any) {
  const { SecretString } = await secretsmanager.getSecretValue({ SecretId: env.SecretId }).promise()

  # 注: 動作確認のため出力しているが、
  # CWLogs に記録されるので実際のプロダクトでは絶対にこのようなコードは書かない
  console.log(SecretString)
  return {}
};

export { handler };
CDK は次のような具合
import * as lambda from "@aws-cdk/aws-lambda";
import * as logs from "@aws-cdk/aws-logs";
import * as secretsmanager from "@aws-cdk/aws-secretsmanager";
import * as cdk from "@aws-cdk/core";

export class TsLambdaStack extends cdk.Stack {
  constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
    super(scope, id, props);
    const secret = new secretsmanager.Secret(this, 'Secret', {
      generateSecretString: {
        secretStringTemplate: JSON.stringify({ username: 'user' }),
        generateStringKey: 'password',
      },
    });

    const helloFunction = new lambda.Function(this, "HelloFunction", {
      runtime: lambda.Runtime.NODEJS_10_X,
      code: lambda.Code.fromAsset("lambda"),
      handler: "hello.handler",
      environment: {
        SecretId: secret.secretFullArn!
      }
    });
    secret.grantRead(helloFunction)

    const _ = new logs.LogGroup(this, "HelloFunctionLogGroup", {
      logGroupName: "/aws/lambda/" + helloFunction.functionName,
      retention: logs.RetentionDays.ONE_DAY,
    });


  }
}

SAM テンプレートから Secret を取得してみる

以下のようにして Secrets Manager の SecureString の取得が可能
Parameters:
  Test:
    Type: String
    Default: '{{resolve:secretsmanager:test:SecretString:test}}'

番外編: Parameter Store を使ってみる

  • Systems Manager に Parameter Store という機能があります
  • String, StringList, Secure-String の 3 つの値を CloudFormation テンプレートから参照できます

String 値の取得

Parameters:
  FuncName:
    Type: String
    Default: '{{resolve:ssm:FunctionName:2}}'

Resources:
  WorkerFunction:
    Type: AWS::Serverless::Function
    Properties:
      FunctionName: !Ref FuncName
      CodeUri: worker/
      Handler: app.lambda_handler

Secure-String 値の取得

以下のような形式で取得できるが、リストにあるリソース-パラメータにしか使えない
'{{resolve:ssm-secure:Himitsu:}}'