问题标签 [aws-secrets-manager]

我已经设置了一个带有 EC2 类型容器实例的 AWS ECS 集群。在任务定义中，有一个“SECRETS”环境变量，其值对应于特定的秘密名称。任务定义使用 awsvpc 网络模式。

为了从代码（.net）访问秘密值，使用以下代码（来自aws 片段）：

这与Fargate实例类型完美配合。当切换到EC2容器实例 GetSecretValueAsync() 失败并出现 AggregateException : TaskCanceledException。

我尝试从容器内部成功获取 IAM 角色凭证：

我也尝试过直接指定检索到的凭据，但没有运气：

此外，我尝试在容器内烘焙 aws cli，并且从内部尝试过aws secretsmanager，aws iam get-user并且aws sts get-caller-identity- 仍然挂起而没有响应。我已授予对任务执行角色的完全管理员访问权限 - 仍然没有成功。我能够从 EC2 容器实例中检索机密，但不能从已安装的容器中检索。

我将密钥存储在 aws 密钥管理器中。旋转后有 2 个阶段标签 AWSCURRENT 和 AWSPREVIOUS

我们可以将 AWSPREVIOUS 更新/重命名为 TESTJK 我尝试了下面的代码，但我没有抛出任何错误，但它没有达到我的预期

我期待什么

将 AWSPREVIOUS 重命名为 TESTJK 并保持机密值不变

预期：

它将 AWSPREVIOUS 重命名为 TESTJK，所以下次如果我使用 AWSPREVIOUS 查询我会得到错误，如果我使用 TESTJK 查询我应该得到秘密值。

当前：我得到 AWSPREVIOUS 的价值，但 TESTJK 的错误

当前尝试使用来自 AWS 机密管理器的用户凭据连接 sftp 服务器，并且密码包含双引号特殊字符，从而导致问题。下面是示例代码，

在这里，我们从 AWS 机密管理器获取密码 (_PASSWORD) 并传递给 pysftp.Connection 函数，但无法连接。

在这里，如果我是硬编码密码，即上面代码中的 pass1，那么它可以正常工作并且能够连接。无法从 python 或 AWS Secrets Manager 得到问题。

您能否告诉我为什么在硬编码正常工作时来自 AWS 机密管理器的密码不起作用。这里要求将密码保存在 AWS Secrets Manager 中。

对此的任何帮助表示赞赏。

我有一个存储在 Secrets Manager 中的密钥（AWS 访问密钥、密钥、区域）。现在我必须从我的 lambda 中检索它并将其作为参数传递给我的 SSM Run 命令文档，该文档将由我的 lambda 触发。尝试时，我无法使用我的 lambda 从 Secret 获取值。这是我的以下代码。

我有一段 cloudFormation 代码

我想要完成的事情是将 Secrets Manager 值传递给变量secretVal 我试图通过将 secretVal 值设置为来做到这一点{{resolve:secretsmanager:{arn of secret}:SecretString}}，但是在 cloudWatch 事件上我有 optput{"val1": "val1", "secretVal": "{{resolve:secretsmanager:{arn of secret}:SecretString}}"}

例如，当我尝试将 Name 设置为 时{{resolve:secretsmanager:{arn of secret}:SecretString}}，一切正常，但使用 Input 时它不起作用。我做错了吗？或者也许还有其他方法可以将秘密值传递给 cloudWatch 事件主体？预先感谢！

我正在实施 AWS ClientManager 以获取保存在 AWS 中的秘密变量。我的初始实现如下：

当我启动服务器时，它会引发以下异常

{ UnrecognizedClientException：请求中包含的安全令牌无效。消息：'请求中包含的安全令牌无效。'，代码：'UnrecognizedClientException'，时间：2019-07-01T12：16：00.021Z，requestId：'c7ed53c1-fb70-4012-aa9f-5a9a3195a043'，状态代码： 400，可重试：假，重试延迟：40.923844792180674 }

任何人都知道为什么我在尝试从秘密管理器获取 AWS 秘密时收到此错误？它是在 AWS Fargate 中运行的 docker 容器。

未处理的异常：System.AggregateException：发生一个或多个错误。（无效参数）---> System.Net.Http.HttpRequestException：无效参数---> System.Net.Sockets.SocketException：System.Net.Http.ConnectHelper.ConnectAsync 的参数无效（字符串主机，Int32 端口，CancellationToken取消令牌）

代码片段如下。并且该任务具有足够的 IAM 角色分配给它。

api文档不多说：https ://docs.aws.amazon.com/sdkfornet/v3/apidocs/items/SecretsManager/MISecretsManagerGetSecretValueAsyncGetSecretValueRequestCancellationToken.html

启动一个非常基本的Spring Boot应用程序使用spring-cloud-starter-aws-secrets-manager-config来检索AWS sectrets工作正常。但是，当我将spring-boot-starter-web dependencyWeb 服务支持添加到项目中时，the spring-cloud-starter-aws-secrets-manager-config errors应用程序无法启动。

pom.xml

爪哇

引导程序.yml

应用程序应该可以正常启动，但是应用程序会出现以下错误：

启动 ApplicationContext 时出错。要显示自动配置报告，请在启用“调试”的情况下重新运行您的应用程序。2019-07-03 11:57:16.563 错误 73839 --- [main] osboot.SpringApplication：应用程序启动失败

org.springframework.beans.factory.UnsatisfiedDependencyException：创建名称为“propertySourceBootstrapConfiguration”的bean时出错：通过字段“propertySourceLocators”表示的依赖关系不满足；嵌套异常是 org.springframework.beans.factory.UnsatisfiedDependencyException：在 org.springframework.cloud.aws.autoconfigure.secretsmanager.AwsSecretsManagerBootstrapConfiguration 中定义名称为“awsSecretsManagerPropertySourceLocator”的 bean 创建错误：通过方法“awsSecretsManagerPropertySourceLocator”参数 1 表示的依赖关系不满足；嵌套异常是 org.springframework.beans.factory.BeanCreationException：创建名称为“aws.secretsmanager-org.springframework.cloud.aws.secretsmanager.AwsSecretsManagerProperties”的 bean 时出错：无法将属性绑定到 AwsSecretsManagerProperties（prefix=aws.secretsmanager、ignoreInvalidFields=false、ignoreUnknownFields=true、ignoreNestedProperties=false）；嵌套异常是 java.lang.NullPointerException 在 org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor$AutowiredFieldElement.inject(AutowiredAnnotationBeanPostProcessor.java:588) ~[spring-beans-4.3.10.RELEASE.jar:4.3.10.RELEASE ] 在 org.springframework.beans.factory.annotation.InjectionMetadata.inject(InjectionMetadata.java:88) ~[spring-beans-4.3.10.RELEASE.jar:4.3.10.RELEASE] 在 org.springframework.beans.factory .annotation.AutowiredAnnotationBeanPostProcessor.postProcessPropertyValues(AutowiredAnnotationBeanPostProcessor.java:366) ~[spring-beans-4.3.10.RELEASE.jar:4.3.10.RELEASE] at org.springframework.beans。

使用 spring-cloud-starter-aws-secrets-manager-config 在应用程序启动时检索 AWS 机密。在 AWS 机密管理器中定义多个机密后，我看不到如何定义多个映射来映射这些机密。

引导程序.yml

pom.xml

AWS 中定义为 /secret/context-name/val1 [foo:bar] /secret/context-name/val2 [wibble:wombat] 的秘密

AwsSecretsManagerPropertySource 中的底层代码似乎在以下位置寻找真正的秘密 /secret/context-name /secret/context-name_ /secret/service-name /secret_service-name_

只有，所以永远不会在 /secret/context-name/X 找到秘密

这是预期的行为吗？如果是这样，我将如何在 bootstrap.yml 中定义多个秘密？

我正在尝试在本地设置 AWS SAM，这样我就不必在每次更改代码时都进行部署。但我无法从 Secrets Manager 中获取秘密。我使用创建了一个新的 SAM 项目sam init --runtime java

然后，我在 Secret Manager 中创建了一个新密钥，并更改了 HelloWorldFunction 中的代码以尝试检索该密钥。

当我运行sam local start-api并导航到 时http://127.0.0.1:3000/hello，我收到此错误：

但是，获取秘密管理器中提供的秘密的代码相同。不能从 sam local 连接到真正的 AWS 服务吗？我在使用 DynamoDB 时遇到了类似的问题，但能够通过使用 DynamoDB Local 来处理它。

关于如何连接到真正的秘密管理器或以某种方式在本地伪造它的任何建议？