Secrets Manager への値の格納と取得
チュートリアルに書いてある内容をためしてみる。CLI からまずはシークレットの作成を行う
$ aws secretsmanager create-secret --name tutorials/MyFirstSecret --description "Basic Create Secret" --secret-string S3@tt13R0cks
続いて格納したシークレットのメタデータ、およびシークレットそのものを取得する
$ aws secretsmanager describe-secret --secret-id tutorials/MyFirstSecret
{
"ARN": "...",
"Name": "tutorials/MyFirstSecret",
"Description": "Basic Create Secret",
"LastChangedDate": ...,
"LastAccessedDate": ...,
"VersionIdsToStages": {
"...": [
"AWSCURRENT"
]
}
}
$ aws secretsmanager get-secret-value --secret-id tutorials/MyFirstSecret --version-stage AWSCURRENT
{
"ARN": "...",
"Name": "tutorials/MyFirstSecret",
"VersionId": "...",
"SecretString": "S3@tt13R0cks",
"VersionStages": [
"AWSCURRENT"
],
"CreatedDate": ...
}
Secrets Manager に格納した値を Lambda から取得する
Lambda 関数の実装を以下のように行う
# -*- coding: utf-8 -*-
import os
import json
import boto3
SecretId = os.environ["SecretId"]
secrets = boto3.client(service_name='secretsmanager')
def lambda_handler(event, _):
res = secrets.get_secret_value(SecretId=SecretId)
# 注: 動作確認のため出力しているが、
# CWLogs に記録されるので実際のプロダクトでは絶対にこのようなコードは書かない
print(res)
return json.loads(res['SecretString'])
SAM テンプレートは以下のような感じ
AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
Globals:
Function:
Timeout: 10
Runtime: python3.8
Environment:
Variables:
SecretId: !Ref TestSecret
Resources:
TestSecret:
Type: AWS::SecretsManager::Secret
Properties:
Description: 'Secrets Test'
GenerateSecretString:
SecretStringTemplate: '{"username": "admin"}'
GenerateStringKey: 'password'
PasswordLength: 16
ExcludeCharacters: '"@/\'
WorkerFunction:
Type: AWS::Serverless::Function
Properties:
CodeUri: worker/
Handler: app.lambda_handler
Policies:
- AWSSecretsManagerGetSecretValuePolicy:
SecretArn: !Ref TestSecret
WorkerFunctionLogGroup:
Type: AWS::Logs::LogGroup
Properties:
LogGroupName: !Sub /aws/lambda/${WorkerFunction}
RetentionInDays: 1
CDK で Secret を管理する
TypeScript で Lambda を次のように実装
const AWS = require('aws-sdk')
const secretsmanager = new AWS.SecretsManager({apiVersion: '2017-10-17'})
const env = process.env
const handler = async function (event: any) {
const { SecretString } = await secretsmanager.getSecretValue({ SecretId: env.SecretId }).promise()
# 注: 動作確認のため出力しているが、
# CWLogs に記録されるので実際のプロダクトでは絶対にこのようなコードは書かない
console.log(SecretString)
return {}
};
export { handler };
CDK は次のような具合
import * as lambda from "@aws-cdk/aws-lambda";
import * as logs from "@aws-cdk/aws-logs";
import * as secretsmanager from "@aws-cdk/aws-secretsmanager";
import * as cdk from "@aws-cdk/core";
export class TsLambdaStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const secret = new secretsmanager.Secret(this, 'Secret', {
generateSecretString: {
secretStringTemplate: JSON.stringify({ username: 'user' }),
generateStringKey: 'password',
},
});
const helloFunction = new lambda.Function(this, "HelloFunction", {
runtime: lambda.Runtime.NODEJS_10_X,
code: lambda.Code.fromAsset("lambda"),
handler: "hello.handler",
environment: {
SecretId: secret.secretFullArn!
}
});
secret.grantRead(helloFunction)
const _ = new logs.LogGroup(this, "HelloFunctionLogGroup", {
logGroupName: "/aws/lambda/" + helloFunction.functionName,
retention: logs.RetentionDays.ONE_DAY,
});
}
}
SAM テンプレートから Secret を取得してみる
以下のようにして Secrets Manager の SecureString の取得が可能
Parameters:
Test:
Type: String
Default: '{{resolve:secretsmanager:test:SecretString:test}}'
番外編: Parameter Store を使ってみる
- Systems Manager に Parameter Store という機能があります
- String, StringList, Secure-String の 3 つの値を CloudFormation テンプレートから参照できます
String 値の取得
Parameters:
FuncName:
Type: String
Default: '{{resolve:ssm:FunctionName:2}}'
Resources:
WorkerFunction:
Type: AWS::Serverless::Function
Properties:
FunctionName: !Ref FuncName
CodeUri: worker/
Handler: app.lambda_handler
Secure-String 値の取得
以下のような形式で取得できるが、リストにあるリソース-パラメータにしか使えない
'{{resolve:ssm-secure:Himitsu:}}'
Pinned Articles
About
ウェブ界隈でエンジニアとして労働活動に励んでいる @gomi_ningen 個人のブログです
Tags
LLM
promptfoo
GenAI
JavaScript
PowerShell
elasticsearch
fluentd
kibana
nginx
五十嵐裕美
村川梨衣
イベント
logrotate
IoT
Scala
Java
ICMP
iputils
C言語
WUG
mastodon
Swift
AWS
Windows
Clock
PoEAA
アーキテクチャ
DeviceFarm
iOS
プログラミング言語
OS
Lambda
StepFunctions
Serverless
terraform
ポエム
ネットワーク
RHEL
GraphQL
CloudWatch
Coreutils
Linux
telnet
nc
network
LinuxKernel
fpinscala
ELB
IAM
AppSync