本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # aws-lambda 秘密管理器 ![](http://docs.aws.amazon.com/zh_tw/solutions/latest/constructs/images/experimental.png) 所有類都在積極開發中,並且在任何未來版本中都會受到非向後兼容的更改或刪除。這些不受[語義版本控制](https://semver.org/)模型。這意味著,雖然您可以使用它們,但在升級到此軟件包的較新版本時,您可能需要更新源代碼。 **請注意:** 為了確保功能正確,專案中的 AWS 解決方案建構套件和 AWS CDK 套件必須是相同的版本。 | **語言** | **套件** | | --- | --- | | ![](http://docs.aws.amazon.com/zh_tw/solutions/latest/constructs/images/python.png) Python | aws\_solutions\_constructs.aws\_lambda\_secretsmanager | | ![](http://docs.aws.amazon.com/zh_tw/solutions/latest/constructs/images/typescript.png) 打字稿 | @aws-solutions-constructs/aws-lambda-secretsmanager | | ![](http://docs.aws.amazon.com/zh_tw/solutions/latest/constructs/images/java.png) Java | software.amazon.awsconstructs.services.lambdasecretsmanager | ## Overview 此 AWS 解決方案建構實作 AWS Lambda 函數和 AWS Secrets Manager 密碼,並具有最低特權權限。 下面是 TypeScript 中的最小可部署模式定義: ``` const { LambdaToSecretsmanagerProps, LambdaToSecretsmanager } from '@aws-solutions-constructs/aws-lambda-secretsmanager'; const props: LambdaToSecretsmanagerProps = { lambdaFunctionProps: { runtime: lambda.Runtime.NODEJS_14_X, // This assumes a handler function in lib/lambda/index.js code: lambda.Code.fromAsset(`${__dirname}/lambda`), handler: 'index.handler' }, }; new LambdaToSecretsmanager(this, 'test-lambda-secretsmanager-stack', props); ``` ## Initializer ``` new LambdaToSecretsmanager(scope: Construct, id: string, props: LambdaToSecretsmanagerProps); ``` *參數* + scope[https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_core.Construct.html](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_core.Construct.html) + id`string` + 提案[`LambdaToSecretsmanagerProps`](#pattern-construct-props-42) ## 模式建立道具 | **名稱** | **類型** | **描述** | | --- | --- | --- | | 現在還有蘭姆達伯 | [https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-lambda.Function.html](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-lambda.Function.html) | Lambda 函數對象的現有實例,提供這個和lambdaFunctionProps會導致錯誤。 | | 拉姆針灸道具? | [https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-lambda.FunctionProps.html](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-lambda.FunctionProps.html) | 用戶提供的道具來覆蓋 Lambda 函數的默認道具。 | | 秘密道具 | [https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-secretsmanager.SecretProps.html](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-secretsmanager.SecretProps.html) | 可選的使用者提供的道具來覆寫 Secrets Manager 的預設道具。 | | 現在的秘密? | [https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-secretsmanager.Secret.html](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-secretsmanager.Secret.html) | Secrets Manager 對象的現有實例,如果這被設置,則secretProps會被忽略。 | | 格蘭特存取權? | boolean | Lambda 函數之密碼的選擇性寫入存取權限 (預設為唯讀)。 | | 秘密變數名稱? | string | 為 Lambda 函數設定之 Secrets Manager 秘密環境變數的選擇性名稱。 | | 是否存在 VPC? | [https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-ec2.IVpc.html](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-ec2.IVpc.html) | 應該部署此模式的選用現有 VPC。在 VPC 中部署時,Lambda 函數將使用 VPC 中的 ENI 來存取網路資源,並且會在 AWS Secrets Manager 的 VPC 中建立一個介面端點。如果提供了現有的 VPC,deployVpc屬性不能為true。這使用ec2.IVpc以允許用戶端提供存在於堆疊外部的 VPC,使用[https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-ec2.Vpc.html#static-fromwbrlookupscope-id-options](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-ec2.Vpc.html#static-fromwbrlookupscope-id-options)方法。 | | 虛擬電腦產品? | [https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-ec2.VpcProps.html](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-ec2.VpcProps.html) | 可選的使用者提供的屬性,用於覆寫新 VPC 的預設屬性。enableDnsHostnames、enableDnsSupport、natGateways,以及subnetConfiguration是由模式設置的,因此此處提供的屬性的任何值都將被覆蓋。如果deployVpc不是true那麼這個屬性將被忽略。 | | 部署 vPC? | boolean | 是否建立新的 VPC 基於vpcProps來部署這種模式。將此設為true將部署最小的,最私有的 VPC 來運行該模式:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/solutions/latest/constructs/aws-lambda-secretsmanager.html) 如果此屬性為true,然後existingVpc無法指定。預設為 false。 | ## 模式性質 | **名稱** | **類型** | **描述** | | --- | --- | --- | | Lambda | [https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-lambda.Function.html](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-lambda.Function.html) | 傳回lambda.Function由建構建立。 | | 秘密 | [https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-secretsmanager.Secret.html](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-secretsmanager.Secret.html) | 傳回secretsmanager.Secret由建構建立。 | | vpc? | [https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-ec2.IVpc.html](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-ec2.IVpc.html) | 返回模式使用的 VPC 上的接口(如果有的話)。這可能是由模式或提供給模式構造函數的 VPC 創建的 VPC。 | ## 預設設設設定 此模式的開箱即用實現沒有任何覆蓋將設置以下默認值: ### AWS Lambda 功能 + 設定 Lambda 函數的有限權限存取 IAM 角色。 + 為 NodeJS Lambda 函數啟用具有持續作用的連線重複使用。 + 啟用 X-Ray 追蹤。 + 設定環境變數: + (默認)秘密 \_ARN 包含由 CDK 返回的秘密 ARN[秘書](https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-secretsmanager.Secret.html#secretarn)屬性 + `AWS_NODEJS_CONNECTION_REUSE_ENABLED`(對於節點 10.x 和更高版本的函數) ### Amazon Secrets Manager 秘密 + 為相關聯的 AWS Lambda 函數啟用唯讀存取 + 使用帳戶和區域的預設 KMS 金鑰啟用伺服器端加密 + 建立新密碼: + (預設) 隨機名稱 + (默認)隨機值 + 刪除 CloudFormation 堆疊時保留秘密 ## Architecture ![](http://docs.aws.amazon.com/zh_tw/solutions/latest/constructs/images/aws-lambda-secretsmanager.png) ## GitHub
要查看此模式的代碼,創建/查看問題和提取請求,以及更多:
![](http://docs.aws.amazon.com/zh_tw/solutions/latest/constructs/images/GitHub-Mark-32px.png) [@aws-解決方案構造/aws-lambda-秘密管理器](https://github.com/awslabs/aws-solutions-constructs/tree/master/source/patterns/%40aws-solutions-constructs/aws-lambda-secretsmanager)