我是谷歌云服务和 Java 的新手,但我正在尝试在 AWS Lambda 上设置一个 Java 函数来调用谷歌云 KMS。我在本地有工作 Java 代码,但据我所知,验证 Google 客户端的唯一方法是设置一个环境变量,其中包含指向包含您的凭据的 JSON 文件的路径。在触发我的 Java 函数时,我可以在本地轻松地做到这一点——我只是在运行代码时将环境变量设置为指向我计算机上的一个文件。谁能给我任何关于如何在 Lambda 中执行此操作的指示,而我似乎所能做的就是上传单个 .jar 文件?
问问题
101 次
1 回答
1
您可能希望将 JSON 文件存储在 AWS Secret Manager 中,然后在函数启动时通过向 AWS Secret Manager 进行身份验证来检索 JSON 文件。然后,您应该配置 Google 客户端库以使用该凭据内容。
或者(更复杂但也更安全)将GCP 配置为 AWS 的 OIDC 提供商,然后创建一个有权直接调用 GCP KMS 的 AWS 角色 - 不需要凭据文件。
于 2019-10-29T23:35:51.873 回答