Вызов Google Cloud KMS от AWS Lambda

Question

Я новичок в облачных сервисах Google и в Java, но я пытаюсь настроить функцию Java в AWS Lambda, которая выполняет вызов в Google Cloud KMS. Я работаю с Java-кодом локально, но из того, что я могу сказать, единственный способ аутентификации клиента Google - установить переменную среды с путем к файлу JSON, содержащему ваши учетные данные. Я легко могу сделать это локально при запуске своей функции Java - я просто устанавливаю переменную среды, указывающую на файл на моем компьютере при запуске кода. Кто-нибудь может дать мне какие-нибудь советы о том, как это сделать в Lambda, где все, что я могу сделать, это загрузить один файл .jar?

Answer 1

Возможно, вы захотите сохранить файл JSON в AWS Secret Manager, а затем получить файл JSON при загрузке функции путем аутентификации в AWS Secret Manager. Затем вы должны настроить клиентскую библиотеку Google для использования этих учетных данных.

В качестве альтернативы (более сложным, но и более безопасным) можно настроить GCP в качестве поставщика OIDC для AWS , а затем создать роль AWS с разрешением на непосредственный вызов GCP KMS - файл учетных данных не требуется.