Serverless:从SecretsManager值创建api键

Question

我有一个Serverless堆栈，将API部署到AWS。我希望使用存储在秘密管理器中的API密钥来保护它。其思想是在SSM中拥有密钥的值，在部署时将其提取，并将其用作我的API密钥。

serverless.yml

service: my-app
frameworkVersion: '2'

provider:
  name: aws
  runtime: nodejs12.x
  ...
  apiKeys:
    - name: apikey
      value: ${ssm:myapp-api-key}

据我所知，部署的API网关密钥应该与SSM秘密相同，但是当我查看控制台时，两个值是不同的。我在看什么？也没有错误信息。

Answer 1

不久前，我遇到了同样的问题，我求助于使用serverless-add-api-key插件，因为当Serverless正在为API创建或重用新的API密钥时，它对我来说是不可理解的。

有了这个插件，您的serverless.yml就会如下所示：

service: my-app
frameworkVersion: '2'

plugins:
  - serverless-add-api-key

custom:
  apiKeys:
    - name: apikey
      value: ${ssm:myapp-api-key}

functions:
  your-function:
    runtime: ...
    handler: ...
    name: ...
    events:
      - http:
          ...
          private: true

您还可以使用特定于阶段的配置：

custom:
  apiKeys:
    dev:
      - name: apikey
        value: ${ssm:myapp-api-key}

Answer 2

这对我来说效果很好：

custom:
  apiKeys:
    - name: apikey
      value: ${ssm:/aws/reference/secretsmanager/dev/user-api/api-key}
      deleteAtRemoval: false # Retain key after stack removal
functions:
  getUserById:
    handler: src/handlers/user/by-id.handler
    events:
      - http:
          path: user/{id}
          method: get
          cors: true
          private: true