Как защитить ключ доступа AWS на сервере

Question

Я пишу серверное приложение, которое подключено к DynamoDB.
В настоящее время я читаю идентификатор ключа доступа и ключ доступа безопасности из файла json.
Я собираюсь использовать Jenkins для CI и мне нужен способ защитить эти ключи.

Я собираюсь установить ключи как переменные окружения и прочитать их в приложении. Но проблема в том, что я не знаю, как устанавливать переменные окружения каждый раз, когда запускается лямбда-функция.

Я читал, что есть способ настроить это в файле serverless.yml, но не знаю как.

Как этого добиться?

Answer 1

Есть хорошее руководство по безопасности без сервера, которое, помимо прочего, также охватывает эту тему. Это похоже на топ-10 OWASP:

Как правило, рекомендуется использовать AWS Secrets Manager вместе с хранилищем параметров SSM.

Answer 2

Не используйте переменные окружения. Используйте роль IAM, которая прикреплена к вашей лямбда-функции. AWS Lambda берет на себя роль от вашего имени и устанавливает учетные данные в качестве переменных среды при запуске вашей функции. Вам даже не нужно читать эти переменные самостоятельно. Все пакеты AWS SDK будут автоматически считывать эти переменные среды.