问题标签 [aws-secrets-manager]

我正在使用 CloudFormation 在 AWS Secrets Manager 密钥中生成新密码，但是，当我更改密钥的 JSON 有效负载的另一部分时，密码会重新生成并更改。有没有办法让 CloudFormation 保留最初生成的密码，并且在其他 JSON 字段更改时不更改密码？

我已将我的 Spring Boot 应用程序与 Spring Cloud aws Secrets Manager 配置集成，并且它正在工作。现在，我希望应用程序使用 Secrets Manager VPC 端点而不是公共端点。我怎样才能做到这一点？

我有一个在 ECS 容器中运行的 Spring Boot 应用程序。我将 AWS 访问密钥、密钥和数据库凭证存储在 application.properties 文件中。我需要将这些数据外部化。所以我需要实现 AWS Secret Manager 来存储秘密。

https://medium.com/@husseinmoghnie/using-aws-secret-manager-to-secure-java-microservice-passwords-for-pci-dss-compliancy-9c35b6420e2b

我正在遵循上述教程。在生产环境变量中存储凭据是否正确？

我将在 AWS Secrets Manager 中为数据库密钥启用密钥轮换策略。我的应用程序如何知道临时凭证发生了变化？

有人可以指导我如何使用 Spring Boot 应用程序有效地实施 AWS Secret Manager 吗？最佳行业实践。

AWS 为一些受支持的 RDS 引擎提供了完全配置且随时可用的轮换支持，包括 Amazon Aurora（也无服务器？）

我正在尝试使用以下方法在我的 CloudFormation 模板中设置密码轮换AWS::SecretsManager::RotationSchedule（请注意，这不是一个功能齐全的模板，只是一个说明）：

但 AWS Lambda 轮换函数失败并显示以下消息：

“数据库引擎必须设置为 'mysql' 才能使用此旋转 lambda”：KeyError

AWS 提供的 AWS Lambda 轮换功能似乎不支持 Aurora Serverless。

是否有使用现有 Lambda 轮换模板设置 Aurora Serverless 密钥轮换的简单方法？

任何可用于为 Aurora Serverless 编写我自己的轮换函数的示例？

PS：这个问题与从 cloudformation 创建 Aurora Serverless Cluster 有点相关？

我使用带有前缀的实例配置文件将 EC2 服务器中的一些机密添加到 AWS SM mysecrets*。现在我正在尝试列出在帐户中创建的秘密，但我得到了：

错误用户无权执行 ListSecrets 操作

IAM 策略允许该操作，secretsmanager:ListSecrets并且 arn 是arn:aws:secretsmanger:region:accntid:secret:mysecrets*。

我运行的命令：

错误：

调用 ListSecrets 操作时出现错误 (AccessDeniedException)：用户：arn:aws:sts::xxxxxx:assumed-role/ec2-xxxx-dev-s3-role/xxxxxx is not authorized to perform:secretsmanager:ListSecrets

在 RDS AWS 创建的密码部分下，我试图传递aws_secretsmanager_secret_version价值。我得到以下错误。

秘密管理器.tf

以下是错误日志：-

错误：函数调用错误

在 ../../modules/airflow/outputs.tf 第 27 行，在输出 "rds_password": 27: value = jsondecode(aws_secretsmanager_secret_version.secret.secret_string)["rds_password"] |------ -------- | aws_secretsmanager_secret_version.secret.secret_string 是 "{\n \"rds_password\": \"9Y\"@xu3jy@sNGXt/\"\n }\n"

调用函数“jsondecode”失败：对象键：值对后的无效字符“@”。

错误：函数调用错误

在 ../../modules/airflow/rds.tf 第 12 行，在资源 "aws_db_instance" "airflow": 12: password = "${jsondecode(aws_secretsmanager_secret_version.secret.secret_string)["rds_password"]}" |- --------------- | aws_secretsmanager_secret_version.secret.secret_string 是 "{\n \"rds_password\": \"9Y\"@xu3jy@sNGXt/\"\n }\n"

调用函数“jsondecode”失败：对象键：值对后的无效字符“@”。

我正在使用 Terraform 代码在 AWS 中创建秘密。我的 Jenkins 管道将每 2 小时创建一次基础架构并销毁它。一旦基础设施在 2 小时后重新创建，AWS Secrets 就不允许我再次重新创建并抛出以下错误。请建议。

TF代码：-

TF 代码计划输出：-

我正在尝试创建一个 AWS IAM 策略，它只允许获取带有特定键/值标记的 AWS 秘密值。

AWS 文档指出secretsmanager:GetSecretValueIAM 操作可以与secretsmanager:ResourceTag/<tagname>上下文一起使用。

但我正在努力让它发挥作用，我尝试了以下方法：

但它不起作用，我收到以下错误

用户：arn:aws:iam::00000000000:user/me 无权执行：secretsmanager:GetSecretValue 在资源上：arn:aws:secretsmanager:eu-west-1:00000000000:secret:rds-db-credentials/cluster- XXXXX/id-xxx

我仔细检查了我的秘密是否有my_key带有my_value值的标签。

请注意，当我删除Condition策略中的 时，用户有权执行secretsmanager:GetSecretValue.

我也没有成功尝试"Resource": "*"与条件一起使用。

我在这里错过了什么吗？

编辑：GetSecretValue通过 AWS CLI 或 AWS 控制台执行时，条件实际上是有效的。但！通过RDS 查询编辑器检索密钥时条件阻塞！删除条件使其立即生效，因此除了secretsmanager:GetSecretValue丢失之外没有其他操作。在这种特定情况下，什么可能使条件失败？

我试图包装示例代码片段以在函数中获取秘密，然后调用它，但它似乎不起作用。我怀疑我正在异步调用它，我需要同步调用它？我只想要一个可以调用的函数来获取秘密值并将其放入 var 中。

这是功能：

然后我叫它

秘密变量总是undefined

编辑：异步只适用于承诺，所以我必须使我的函数异步并返回一个承诺：

我正在使用 cloudformation 建立服务器，我希望在启动时创建该用户的用户和密码。但我不希望通过 cloudformation 脚本以明文形式提供用户名或密码。我想在秘密管理器秘密中拥有用户名和密码，然后使用 cloudformation/userdata 提取这些凭据以创建用户。