无服务器框架 - 我需要哪些权限才能使用 AWS SSM 参数存储？答案

【问题标题】：Serverless Framework - What permissions do I need to use AWS SSM Parameter Store?无服务器框架 - 我需要哪些权限才能使用 AWS SSM 参数存储？
【发布时间】：2019-10-08 02:37:34
【问题描述】：

我提出这个问题是因为似乎没有这方面的文档，所以我想在浪费了很多时间在反复试验之后提供答案。

作为背景，无服务器框架 [允许从 AWS SSM 参数存储加载纯文本和 SecureString 值]。1

在执行无服务器部署时访问和加载这些 SSM 参数存储值需要哪些权限？

【问题讨论】：

标签： aws-lambda amazon-iam serverless-framework serverless aws-serverless

【解决方案1】：

一般来说，访问和解密 AWS SSM 参数存储值需要这 3 个权限：

ssm:DescribeParameters
ssm:GetParameters
kms:Decrypt

这是一个真实世界的示例，它只允许访问与我的 lambda 函数相关的 SSM 参数（通过遵循通用命名约定/模式来区分） - 它在以下情况下有效：

SecureString 值使用默认的 AWS SSM 加密密钥进行加密。
所有参数都使用以下命名约定

一个。 /${app-name-or-app-namespace}/serverless/${lambda-function-name/then/whatever/else/you/want

b.${lambda-function-name}必须以sls-开头

假设我有一个名为 myCoolApp 的应用程序和一个名为 sls-myCoolLambdaFunction 的 Lambda 函数。也许我想保存数据库配置值，例如用户名和密码。

我将创建两个 SSM 参数：

/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username（明文）
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password（安全字符串）

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeParameters"
            ],
            "Resource": [
                "arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter"
            ],
            "Resource": [
                "arn:aws:ssm:${region-or-wildcard}:${aws-account-id-or-wildcard}:parameter/myCoolApp/serverless/sls-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:*:${aws-account-id}:key/alias/aws/ssm"
            ]
        }
    ]
}

然后在我的 serverless.yml 文件中，我可能会像这样引用这两个 SSM 值作为函数级环境变量

environment:
      DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username}
      DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password~true}

或者，更好的是，如果我想在不同阶段有不同配置值的情况下变得超级动态，我可以像这样设置环境变量

environment:
      DATABASE_USERNAME: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/username}
      DATABASE_PASSWORD: ${ssm:/myCoolApp/serverless/sls-myCoolLambdaFunction/${self:provider.stage}/database/password~true}

对于上述示例，如果我有两个阶段 - dev 和 prod，也许我会创建以下 SSM 参数：

/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/username（明文）
/myCoolApp/serverless/sls-myCoolLambdaFunction/dev/database/password（安全字符串）
/myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/username（明文）
/myCoolApp/serverless/sls-myCoolLambdaFunction/prod/database/password（安全字符串）

【讨论】：

你放在这里的好例子。然而，拥有serverless.yml 的用户/密码部分并不好。因为最后，它上传到 S3，cloudformation 将运行它，并且 lambda 将在其环境中拥有用户/密码。
@Edmond 这是构建时与运行时配置的古老问题。我同意你的观点，但更安全的方法是让 lambda 代码在运行时使用其 iam 角色从 SSM（或任何数据存储）中检索秘密。

【解决方案2】：

我建议使用 AWS SDK 在代码中获取 SSM 参数，而不是保存在环境文件（即 .env）中。这样更安全。您需要为使用 action=ssm:GetParameter 的角色分配权限，并且资源指向 SSM 参数存储中的参数。我使用无服务器框架进行部署。下面是我在 serverless.yml 中使用模式“{stage}-myproject-*”（例如 dev-myproject-username、qa-myproject-password）的参数名称：

custom:
  myStage: ${opt:stage}
provider:
  name: aws
  runtime: nodejs10.x
  stage: ${self:custom.myStage}
  region: us-east-1
  myAccountId: <aws account id>
  iamRoleStatements:
    - Effect: Allow
      Action:
        - ssm:GetParameter
      Resource: "arn:aws:ssm:${self:provider.region}:${self:provider.myAccountId}:parameter/${self:provider.stage}-myproject-*"

下面列出了两个有用的资源： where to save credentials? wireless framework IAM doc

【讨论】：

iamRoleStatements 如何在提供者下与在单个资源/lambda 函数上应用？这些最终在哪里与 lambda(s) 相关联？

【解决方案3】：

如果您在 ci/cd 管道中使用 codebuild，请不要忘记将 ssm 授权策略添加到 codebuild 服务角色。（当我们谈论 ssm 时，我们必须区分 secretsmanager 和 parametstore）

【讨论】：