29

使用 AWS CLI 从命令行解密密文时,密文被解密而不会出现问题:

$ aws kms decrypt --ciphertext-blob fileb://encrypted-secrets --output text --query Plaintext --region us-east-1 | base64 --decode > decryped-secrets

当尝试从 js 脚本执行此操作时,此解密操作也可以在本地工作:

#!/usr/local/bin/node

const fs = require('fs');
const AWS = require('aws-sdk');
const kms = new AWS.KMS({region:'us-east-1'});

const secretPath = './encrypted-secrets';
const encryptedSecret = fs.readFileSync(secretPath);

const params = {
      CiphertextBlob: encryptedSecret
};

kms.decrypt(params, function(err, data) {
  if (err) {
    console.log(err, err.stack);
  } else {
    const decryptedScret = data['Plaintext'].toString();
    console.log('decrypted secret', decryptedScret);
  }
});

但是,当尝试在 AWS Lambda 函数的上下文中使用与上述几乎完全相同的代码执行此操作时,函数的调用会导致超时:

'use strict';

const zlib = require('zlib');
const mysql = require('mysql');
const fs = require('fs');
const AWS = require('aws-sdk');
const kms = new AWS.KMS({region:'us-east-1'});

const secretPath = './encrypted-secrets';
const encryptedSecret = fs.readFileSync(secretPath);

const params = {
    CiphertextBlob: encryptedSecret
};

exports.handler = (event, context, callback) => {
    kms.decrypt(params, (err, data) => {
       if (err) {
            console.log(err, err.stack);
            return callback(err);
        } else {
            const decryptedScret = data['Plaintext'].toString();
            console.log('decrypted secret', decryptedScret);
            return callback(null, `Successfully processed ${parsed.logEvents.length} log events.`);
        }
    });
};

超时日志:

START RequestId: start-request-id-redacted Version: $LATEST
END RequestId: end-request-id-redacted
REPORT RequestId: report-requested-id-redacted  Duration: 10002.43 ms   Billed Duration: 10000 ms   Memory Size: 128 MB Max Memory Used: 18 MB  
2016-11-13T19:22:28.774Z task-id-redacted Task timed out after 10.00 seconds

笔记:

  • 如果我注释掉对的调用kms.decrypt并尝试对console.logparams任何东西,那么这些值将毫无问题地输出。调用似乎存在某种问题kms.decrypt,并且没有返回超出超时的实际错误。
  • 附加到调用 lambda 函数的角色的策略包含附加的策略AWSLambdaVPCAccessExecutionRole,以及以下附加的内联策略:

policygen-lambda_basic_execution_and_kms_decrypt-201611131221

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "sid-redacted",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:account-redacted:key/key-id-redacted"
            ]
        }
    ]
}
  • 我已经编辑了代码中的任何识别信息。
4

4 回答 4

42

在与非常有帮助的 AWS 支持人员进行了深入交谈后,我们得到了答案:

出现超时的主要原因是缺少从 Lambda 函数内部到 KMS 服务的连接,因为 KMS 服务在配置 Lambda 函数的 VPC 中没有终端节点。

为了让 VPC 中的 Lambda 函数连接到除 Amazon S3 之外的任何服务,该服务在 VPC 中确实有一个终端节点,Lambda 函数必须位于/关联至少一个,但最好是两个私有子网,具有他们的路由表包括到 NAT 网关的目标路由 0.0.0.0/16。

无法让 Lambda 函数位于具有 Internet 网关的公共子网中。

获取 VPC 绑定的 Lambda 函数以访问 KMS 和所有其他没有 VPC 终端节点的服务的步骤:

  1. 创建或记下现有的私有子网,该子网具有 0.0.0.0/0 到 NAT 网关的路由表条目。
    • 如果您还没有 NAT 网关、路由表和子网,如上所述,您必须首先适当地创建它们并将它们相互关联。
  2. 在创建 Lambda 函数时将 Lambda 函数附加到上面的私有子网,或编辑 Lambda 函数以具有该配置。

如果您遵循这两个步骤,您应该能够kms.encrypt从您的 Lambda 函数中调用其他请求,这些请求需要出站/出站 Internet 连接,因为这些服务在您的 VPC 中没有终端节点。

Lambda 如何在 VPC 中工作的可视化概览

于 2016-11-14T16:42:48.463 回答
6

EC2 实例默认带有自己的公共 IP,因此它们可以毫无问题地访问任何需要访问 Internet 的服务(例如 KMS)。

附加到您的 VPC 的 Lambda 函数没有公共 IP,因此要通过 Internet 访问服务(例如 KMS),您需要按照 zealoushacker 的描述设置 NAT。

于 2017-06-19T05:26:04.990 回答
4

要添加到 zealoushacker 的出色答案,您还应该检查您的 lambda 安全组设置是否具有指向 0.0.0.0 和任何端口的出站规则。

在我们的例子中,我们已经在私有子网中运行,但是将安全组限制在我们的 RDS 数据库中。

于 2017-07-27T09:07:48.563 回答
1

只是为了快速更新,我遇到了同样的问题,但现在我们可以直接将指向 KMS 的端点添加到您的 lambda 附加到的 VPC。

您可以在此处找到详细信息:https ://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html

我进行此更新是因为我即将遵循其他答案(应该仍然有效),但这种方式似乎更自然。

于 2021-09-07T15:32:29.767 回答