卓越飞翔博客
php小编香蕉为您带来一篇关于本地Go应用程序获取机密的正确策略的文章。在现代应用程序开发中,对于保护敏感信息的安全性至关重要。本文将分享一些有效的策略,帮助开发人员在本地Go应用程序中正确地获取和使用机密信息,确保数据的保密性和完整性。无论是数据库密码、API密钥还是其他敏感信息,正确的处理和存储是保障应用程序安全的关键。让我们一起深入探讨如何安全地处理机密信息吧!
问题内容
在 aws 上玩一个小项目:
- golang 应用
- rds/mysql 数据库
- 秘密经理
- api 网关和 lambda
我在本地运行 go 应用程序来验证与数据库的交互,但我无法让它与秘密管理器一起工作。
使用此示例代码:
func getcreds() {
config, err := config.loaddefaultconfig(context.todo(), config.withregion(region))
if err != nil {
log.fatal(err)
}
svc := secretsmanager.newfromconfig(config)
input := &secretsmanager.getsecretvalueinput{
secretid: aws.string(secretname),
versionstage: aws.string("awscurrent"),
}
result, err := svc.getsecretvalue(context.todo(), input)
if err != nil {
log.fatal(err.error())
}
var secretstring string = *result.secretstring
log.printf("pwd: %s", secretstring)
}我懂了
operation error secrets manager: getsecretvalue, exceeded maximum number of attempts, 3, failed to sign request: failed to retrieve credentials: failed to refresh cached credentials, no ec2 imds role found, operation error ec2imds如果我理解正确的话,我需要向用户/策略添加权限。但是在哪里添加这个呢?在 iam 控制台中?或者秘密管理器控制台?
它应该是什么?
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Principal": {"AWS": "<what to add here>"},
"Resource": ""
}
]
}解决方法
go 应用程序找不到使用 aws api 的凭证。
根据(配置凭证),您可以使用此自动使用 ~/.aws/config 作为本地凭证的代码
sess := session.must(session.newsessionwithoptions(session.options{
sharedconfigstate: session.sharedconfigenable,
}))如果您提供自定义配置,则必须提供凭据。还有其他的方法,选择一个适合你的。 aws 提出了上述方法.
这包括与您的用户一起运行。对于 aws 执行,您需要授予 lambda 函数对密钥的访问权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
],
"Resource": [
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes128-1a2b3c"
]
}
}上述策略必须应用于执行 lambda 所使用的 iam 角色。您可以找到角色 aws 控制台 -> lambda -> 您 lambda -> 配置 -> 权限 -> 执行角色
