Держите секретный ключ AWS вне кода Javascript

Question

У меня есть веб-приложение, которое использует AWS Lambda и API Gateway (защищенный IAM) для бэкэнда, внешний интерфейс построен с использованием React.Я пытаюсь выяснить, как лучше всего не допускать использование секретного ключа AWS в производственном коде Javascript, но пока я не могу найти ничего лучше, чем просто запутать ключ, но это ничего не решает.

Пока что в разработке я использую apigClient и жесткое кодирование как ключа доступа, так и секретного ключа.

Любая помощь будет очень признательна.

Спасибо.

Answer 1

AWS имеет интерфейс для переменных среды в своих приложениях.Похоже, что это документы для Lambda .Вы должны поместить любые учетные данные в этот интерфейс, и тогда вы сможете получить к ним доступ в своей функции Lambda.Локально, вы можете использовать npm, например dot-env , и использовать файл .env для доступа к переменным среды.Или вы можете просто добавить их в командной строке.Если вы собираетесь использовать файл .env, ОЧЕНЬ ВАЖНО, чтобы вы игнорировали этот файл в вашем .gitignore.

Answer 2

Все, что вы включаете в свой код JavaScript, будет доступно для чтения в браузере, если кто-то проверяет исходный код вашего окончательного комплекта.

Если вы хотите быть на 100% уверены, что ваш секретный ключ остается скрытым, вам следуетвыполните эту аутентификацию в бэкэнде.

Однако вы можете сохранить секретные ключи вне хранилища, установив их в качестве переменных env.