【问题标题】:Using AWS Secrets Manager with Python (Lambda Console)将 AWS Secrets Manager 与 Python 结合使用(Lambda 控制台)
【发布时间】:2020-01-19 21:10:38
【问题描述】:

我正在尝试在 AWS 中使用 Secrets Manager 一个 Lambda 函数。管理器用于将数据库凭据存储到 Snowflake(用户名、密码)的秘密。

我设法在 Secrets Manager 中设置了一个秘密,其中包含多个键/值对(例如,一个用于用户名,另一个用于密码)。

现在我试图在我的 Python 函数代码中引用这些值。 AWS 文档提供以下 sn-p:

import boto3
import base64
from botocore.exceptions import ClientError


def get_secret():

    secret_name = "MY/SECRET/NAME"
    region_name = "us-west-2"

    # Create a Secrets Manager client
    session = boto3.session.Session()
    client = session.client(
        service_name='secretsmanager',
        region_name=region_name
    )

    # In this sample we only handle the specific exceptions for the 'GetSecretValue' API.
    # See https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html
    # We rethrow the exception by default.

    try:
        get_secret_value_response = client.get_secret_value(
            SecretId=secret_name
        )
    except ClientError as e:
        if e.response['Error']['Code'] == 'DecryptionFailureException':
            # Secrets Manager can't decrypt the protected secret text using the provided KMS key.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'InternalServiceErrorException':
            # An error occurred on the server side.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'InvalidParameterException':
            # You provided an invalid value for a parameter.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'InvalidRequestException':
            # You provided a parameter value that is not valid for the current state of the resource.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'ResourceNotFoundException':
            # We can't find the resource that you asked for.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
    else:
        # Decrypts secret using the associated KMS CMK.
        # Depending on whether the secret is a string or binary, one of these fields will be populated.
        if 'SecretString' in get_secret_value_response:
            secret = get_secret_value_response['SecretString']
        else:
            decoded_binary_secret = base64.b64decode(get_secret_value_response['SecretBinary'])

    # Your code goes here.

稍后在我的def lambda_handler(event, context) 函数中,我有以下 sn-p 来建立与我的数据库的连接:

        conn = snowflake.connector.connect(
            user=USERNAME,
            password=PASSWORD,
            account=ACCOUNT,
            warehouse=WAREHOUSE,
            role=ROLE
            )

但是,我无法弄清楚如何使用get_secret() 函数返回USERNAMEPASSWORD 等参数的值。

如何做到这一点?感谢您的帮助!

【问题讨论】:

  • 在处理函数中调用函数不起作用?

标签: python amazon-web-services aws-lambda aws-secrets-manager


【解决方案1】:

将 get_secret() 的最后一部分更新为:

else:
        # Decrypts secret using the associated KMS CMK.
        # Depending on whether the secret is a string or binary, one of these fields will be populated.
        if 'SecretString' in get_secret_value_response:
            secret = get_secret_value_response['SecretString']
        else:
            secret = base64.b64decode(get_secret_value_response['SecretBinary'])

return json.loads(secret)  # returns the secret as dictionary

这将返回一个字典,其中包含您在 AWS Secret Manager 控制台中指定的密钥。

【讨论】:

  • 返回秘密作为 json 帮助了我。 +1,谢谢
  • @Prashanthkumar 您是否仅通过添加return 获得字典?我正在努力获取我的凭据。
  • @django-unchained,希望您已经了解了它,但除此之外,我只是将 base64.b64decode(get_secret_value_response['SecretBinary']) 包含在 json.loads 中,将其分配给变量“secret”,之后我可以访问凭据作为secret["username"]secret["password"],或者你的变量在秘密管理器秘密中。
  • 你能提供你的代码吗?我在这种情况下困了好几天
  • 我收到以下错误 [ERROR] UnboundLocalError: local variable 'secret' referenced before assignment
【解决方案2】:
  • 这是我使用 arn 的方法,following this bloc 希望对您有所帮助。
  • 值得检查您曾经存储的内容并相应地使用一个 SecretStringSecretBinary
    secrets_client = boto3.client('secretsmanager')
    secret_arn = 'arn:aws:secretsmanager:eu-west-2:xxxxxxxxxxxx:secret:dashboard/auth_token'
    auth_token = secrets_client.get_secret_value(SecretId=secret_arn).get('SecretString')
  • boto3 docs
  • get_secret_value 从指定的密钥版本中检索加密字段 SecretStringSecretBinary 的内容,以包含内容者为准。
  • 您的 lambda 角色应具有以下权限,具体取决于所使用的权限
    • secretsmanager:GetSecretValue
    • 仅当您使用客户管理的 AWS KMS 密钥加密密钥时才需要kms:Decrypt。您不需要此权限即可将账户的默认 AWS 托管 CMK 用于 Secrets Manager。

【讨论】:

    猜你喜欢
    • 2020-11-06
    • 2020-10-26
    • 2020-09-28
    • 2023-01-01
    • 2018-09-27
    • 1970-01-01
    • 2023-03-18
    • 2023-01-26
    • 1970-01-01
    相关资源
    最近更新 更多