从 AWS lambda 函数访问 Parameter Store 字符串时出错

【问题标题】:Error while accessing the Parameter Store strings from AWS lambda function从 AWS lambda 函数访问 Parameter Store 字符串时出错
【发布时间】:2021-07-01 10:08:42
【问题描述】:

我正在使用 AWS 的 Parameter Store 来存储 String 参数值。 我在从 Lambda 函数中获取参数时使用以下代码:

const ssm = require('aws-sdk/clients/ssm');
const getConfig = (prefix) => {
  return ssm.getParameter({ Name: `/${prefix}/config`}).promise()
    .then(resp => JSON.parse(resp.Parameter.Value))
    .catch(err => console.error(err));
};

但我在从 AWS 控制台运行 Lambda 时不断收到以下错误:

ERROR   AccessDeniedException: User: arn:aws:sts::XXX:assumed-role/lambdaExecutionRole is not authorized to perform: ssm:GetParameter on resource: arn:aws:ssm:us-east-1:XXX:parameter/get/getValue

我尝试将管理员访问权限添加到角色:lambdaExecutionRole,但现在收到此错误:

ERROR   SyntaxError: Unexpected token h in JSON at position 0
    at JSON.parse (<anonymous>)
    at /var/task/myFile.js:2:955529
    at processTicksAndRejections (internal/process/task_queues.js:97:5)
    at async Runtime.e.handler (/var/task/myFile.js:2:1065241)

我什至尝试在 doc 之后添加 ssm 权限:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
        "Sid": "GetParam1",
        "Effect": "Allow",
        "Principal": {
          "Service": "lambda.amazonaws.com"
         },
         "Action": "ssm:GetParameter",
         "Resource": "*"
    }
  ]
}
- An error occurred: AssumeRole policy may only specify STS AssumeRole actions.
- An error occurred: Has prohibited field Resource

知道我在这里可能缺少什么吗?提前致谢。

【问题讨论】:

  • 操作是ssm:GetParameter,但您的策略是ssm:GetParameters
  • 抱歉打错了,我更正了,但又是同样的问题

标签: amazon-web-services aws-lambda aws-parameter-store


【解决方案1】:

ERROR SyntaxError: JSON 中位置 0 处的意外标记 h

当您添加 Administrator 权限时,会告诉您从参数存储中获取并最终通过 resp.Parameter.Value 传递给 JSON.parse 的信息是不正确的。

您的政策也是错误的,您将IAM PolicyTrust Policy 混合在一起。它们应该单独定义。

Roles terms and concepts

信任政策为您的 lambda IAM Role

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

用于 Lambda IAM 角色的 IAM 政策* 以允许访问 SSM 参数存储**

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "GetParam1",
        "Effect": "Allow",
         "Action": "ssm:GetParameter",
         "Resource": "*"
    }
  ]
}

这就是这些错误的原因

  • 发生错误:AssumeRole 政策只能指定 STS AssumeRole 操作。
  • 发生错误:已禁止字段资源

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2019-02-07
    • 2017-07-06
    • 2020-08-01
    • 2022-01-17
    • 1970-01-01
    • 2020-04-22
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode