Скрыть переменные окружения из AWS Lambda Console

Question

У меня есть несколько лямбда-функций, которые используют некоторые переменные окружения. Я понимаю, что мы можем использовать AWS KMS для их шифрования, а затем с консоли AWS они не будут видны.

В моем случае использование KMS невозможно, поэтому мне было интересно, есть ли другой способ Возможно, ограничив на уровне IAM, чтобы пользователь не видел переменные env.

Я уже пытался удалить GetFunction и GetFunctionConfiguration из политики. Это работает, но проблема в том, что пользователь не может видеть другие вещи, потому что теперь GetFunctionConfiguration не разрешен.

Есть ли какая-либо мелкая настройка разрешения, которая может скрывать только переменные env из консоли AWS Lambda? ?

Заранее спасибо.

Answer 1

Боюсь, что на уровне Lambda нет способа реализовать RBA C для отображения переменных среды в консоли.

Если у вас есть доступ к SSM Parameter Store , это поможет решить вашу проблему.

Храня переменные среды в SSM, вы можете реализовать управление доступом на основе IAM для каждого параметра по пути, в котором вы их размещаете. Это даст вам централизованное расположение управлять вашими параметрами для ваших лямбд и помочь минимизировать изменения кода.

Как хранить ваши AWS Lambda Secrets - Medium описывает аналогичный сценарий и как эффективно использовать SSM с Lambda.

Answer 2

Короткий ответ - нет. Как вы указали, решение этой проблемы - использовать KMS для шифрования переменной, а затем расшифровать ее в своем коде.