Requisitos previos Uso Nombre de variable de entorno Ejemplos

Uso de secretos de AWS Secrets Manager en los trabajos de GitHub

Para usar un secreto en un trabajo de GitHub, puede usar una acción de GitHub para recuperar secretos de AWS Secrets Manager y agregarlos como variables de entorno enmascaradas en el flujo de trabajo de GitHub. Para obtener más información sobre GitHub Actions, consulte Understanding GitHub Actions (Información general sobre Github Actions) en GitHub Docs.

Cuando agrega un secreto al entorno de GitHub, está disponible para todos los demás pasos del trabajo de GitHub. Siga las instrucciones de Security hardening for GitHub Actions (Fortalecimiento de seguridad de GitHub Actions) para evitar que los secretos del entorno se utilicen de forma indebida.

Puede establecer la cadena completa del valor del secreto como el valor de la variable de entorno o, si la cadena es JSON, puede analizar el elemento JSON para establecer variables de entorno individuales para cada par clave-valor de JSON. Si el valor del secreto es binario, la acción lo convierte en una cadena.

Para ver las variables de entorno creadas a partir de sus secretos, active el registro de depuración. Para obtener más información, consulte Enabling debug logging (Habilitación del registro de depuración) en GitHub Docs.

Para usar las variables de entorno creadas a partir de los secretos, consulte Variables de entorno en Documentación de GitHub.

Requisitos previos

Para usar esta acción, primero debe configurar las credenciales de AWS y establecer la Región de AWS en el entorno de GitHub mediante el paso configure-aws-credentials. Siga las instrucciones de Configurar las acciones de credenciales de AWS para acciones de GitHub para Asumir el rol directamente con el proveedor OIDC de GitHub. Esto permite utilizar credenciales de corta duración y evitar almacenar claves de acceso adicionales fuera de Secrets Manager.

El rol de IAM que asume la acción debe tener los siguientes permisos:

GetSecretValue sobre los secretos que quiere recuperar.
ListSecrets sobre todos los secretos.
(Opcional) Decrypt sobre KMS key si los secretos están cifrados con clave administrada por el cliente.

Para obtener más información, consulte Autenticación y control de acceso de AWS Secrets Manager.

Uso

Para utilizar la acción, agregue un paso al flujo de trabajo que emplea la siguiente sintaxis.


- name: Step name
  uses: aws-actions/aws-secretsmanager-get-secrets@v2
  with:
    secret-ids: |
      secretId1
      ENV_VAR_NAME, secretId2
    name-transformation: (Optional) uppercase|lowercase|none
    parse-json-secrets: (Optional) true|false

Parámetros

secret-ids

ARN, nombres y prefijos de nombres de los secretos.

Para establecer el nombre de la variable de entorno, escríbalo antes del identificador del secreto, seguido de una coma. Por ejemplo, ENV_VAR_1, secretId crea una variable de entorno denominada ENV_VAR_1 a partir del secretId del secreto. El nombre de las variables de entorno pueden componerse de letras mayúsculas, números y guiones bajos.

Para usar un prefijo, ingrese al menos tres caracteres seguidos de un asterisco. Por ejemplo, dev* hace coincidir todos los secretos con un nombre que comience por dev. El número máximo de secretos coincidentes que pueden recuperarse es de 100. Si establece el nombre de la variable y el prefijo coincide con varios secretos, la acción devuelve un error.

name-transformation

De forma predeterminada, el paso crea el nombre de cada variable de entorno a partir del nombre del secreto, transformado para incluir solo letras mayúsculas, números y guiones bajos, de modo que no comience con un número. En el caso de las letras del nombre, puede configurar el paso para usar letras minúsculas con lowercase o no cambiar el tipo de letra con none. El valor predeterminado es uppercase.

parse-json-secrets

(Opcional) De forma predeterminada, la acción establece el valor de la variable de entorno en toda la cadena JSON del valor del secreto. Establezca parse-json-secrets en true para crear variables de entorno para cada par clave-valor en el archivo JSON.

Tenga en cuenta que, si el archivo JSON utiliza claves que distinguen entre mayúsculas y minúsculas, como “nombre” y “Nombre”, la acción tendrá conflictos de nombres duplicados. En este caso, establezca parse-json-secrets en false y analice el valor del secreto de JSON por separado.

Nombre de variable de entorno

Las variables de entorno creadas por la acción reciben el mismo nombre que los secretos de los que provienen. Las variables de entorno tienen requisitos de nomenclatura más estrictos que los secretos, por lo que la acción transforma los nombres de los secretos para cumplir esos requisitos. Por ejemplo, la acción transforma las letras minúsculas en mayúsculas. Si analiza el JSON del secreto, el nombre de la variable de entorno incluye tanto el nombre del secreto como el nombre de la clave JSON, por ejemplo MYSECRET_KEYNAME. Puede configurar la acción para que no transforme letras minúsculas.

Si dos variables de entorno terminan con el mismo nombre, la acción fallará. En este caso, debe especificar los nombres que quiere usar para las variables de entorno como alias.

Ejemplos de casos en los que los nombres pueden entrar en conflicto:

Un secreto llamado “MySecret” y un secreto llamado “mysecret” se convertirían en variables de entorno denominadas “MYSECRET”.
Tanto un secreto denominado “Secret_keyname” como un secreto analizado por JSON denominado “Secret” con una clave denominada “keyname” se convertirían en variables de entorno denominadas “SECRET_KEYNAME”.

Puede establecer el nombre de la variable de entorno especificando un alias, como se muestra en el siguiente ejemplo, que crea una variable denominada ENV_VAR_NAME.


secret-ids: |
  ENV_VAR_NAME, secretId2

Alias en blanco

Si establece parse-json-secrets: true e introduce un alias en blanco, seguido de una coma y, a continuación, el id. del secreto, la acción asignará a la variable de entorno el mismo nombre que a las claves JSON analizadas. Los nombres de las variables no incluyen el nombre secreto.

Si el secreto no contiene un JSON válido, la acción crea una variable de entorno y le asigna el mismo nombre que el nombre del secreto.
Si establece parse-json-secrets: false e introduce un alias en blanco, seguido de una coma y el id. del secreto, la acción asigna un nombre a las variables de entorno como si no hubiera especificado un alias.

El siguiente ejemplo muestra un alias en blanco.


,secret2

Ejemplos

ejemplo 1. Obtención de secretos por nombre y por ARN

En el ejemplo siguiente, se crean variables de entorno para los secretos identificados por nombre y por ARN.


- name: Get secrets by name and by ARN
  uses: aws-actions/aws-secretsmanager-get-secrets@v2
  with:
    secret-ids: |
      exampleSecretName
      arn:aws:secretsmanager:us-east-2:123456789012:secret:test1-a1b2c3
      0/test/secret
      /prod/example/secret
      SECRET_ALIAS_1,test/secret
      SECRET_ALIAS_2,arn:aws:secretsmanager:us-east-2:123456789012:secret:test2-a1b2c3
      ,secret2

Variables de entorno creadas:


EXAMPLESECRETNAME: secretValue1
TEST1: secretValue2
_0_TEST_SECRET: secretValue3
_PROD_EXAMPLE_SECRET: secretValue4
SECRET_ALIAS_1: secretValue5
SECRET_ALIAS_2: secretValue6
SECRET2: secretValue7

ejemplo 2. Obtención de todos los secretos que comienzan por un prefijo

El siguiente ejemplo crea variables de entorno para todos los secretos con nombres que comienzan por beta.


- name: Get Secret Names by Prefix
  uses: 2
  with:
    secret-ids: |
      beta*    # Retrieves all secrets that start with 'beta'

Variables de entorno creadas:


BETASECRETNAME: secretValue1
BETATEST: secretValue2
BETA_NEWSECRET: secretValue3

ejemplo 3. Análisis del archivo JSON en secreto

En el siguiente ejemplo, se crean variables de entorno mediante el análisis del archivo JSON del secreto.


- name: Get Secrets by Name and by ARN
  uses: aws-actions/aws-secretsmanager-get-secrets@v2
  with:
    secret-ids: |
      test/secret
      ,secret2
    parse-json-secrets: true

El secreto test/secret tiene el siguiente valor del secreto.


{
  "api_user": "user",
  "api_key": "key",
  "config": {
    "active": "true"
  }
}

El secreto secret2 tiene el siguiente valor del secreto.


{
  "myusername": "alejandro_rosalez",
  "mypassword": "EXAMPLE_PASSWORD"
}

Variables de entorno creadas:


TEST_SECRET_API_USER: "user"
TEST_SECRET_API_KEY: "key"
TEST_SECRET_CONFIG_ACTIVE: "true"
MYUSERNAME: "alejandro_rosalez"
MYPASSWORD: "EXAMPLE_PASSWORD"

ejemplo 4 Utilice letras minúsculas para los nombres de las variables de entorno

En el siguiente ejemplo, se crea una variable de entorno con un nombre en minúscula.


- name: Get secrets
  uses: aws-actions/aws-secretsmanager-get-secrets@v2
  with:
    secret-ids: exampleSecretName
    name-transformation: lowercase

Variable de entorno creada:


examplesecretname: secretValue

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS CloudFormation

AWS IoT Greengrass