Управление доступом к RDS с помощью AWS Secrets Manager
В настоящее время я работаю с Eclipse и инструментарием AWS для Eclipse. Мой проект уже работает, и он выполняет свою работу: подключиться к экземпляру RDS и вернуть объекты JSON в вызовы API Gateway.
Я только что получил новое требование, мы должны использовать сервис SecretsManager для автоматической ротации конфигурации RDS, такой как Пользователи, пароли и так далее.
Проблема в том, когда я пытаюсь импортировать классы, такие как GetSecretValueResponseЯ получаю The import com.amazonaws.services.secretsmanager cannot be resolved, Когда я изучаю документацию и SDK, существует GetSecretValueRequest но не GetSecretValueResponseпоэтому я не могу понять, что мне делать, и я не нашел ничего похожего на пример, который я могу изучить.
Следующий код - это то, что я пытаюсь реализовать, и он предоставляется самим Amazon (на странице диспетчера секретов есть кнопка, которую вы можете нажать, чтобы посмотреть, как она будет работать с Java, в данном случае), и она представлена без каких-либо изменений. тем не менее, как я уже сказал, я не знаю, как импортировать несколько классов:
// Use this code snippet in your app.
public static void getSecret() {
String secretName = "secretName";
String endpoint = "secretEndpoint";
String region = "region";
AwsClientBuilder.EndpointConfiguration config = new AwsClientBuilder.EndpointConfiguration(endpoint, region);
AWSSecretsManagerClientBuilder clientBuilder = AWSSecretsManagerClientBuilder.standard();
clientBuilder.setEndpointConfiguration(config);
AWSSecretsManager client = clientBuilder.build();
String secret;
ByteBuffer binarySecretData;
GetSecretValueRequest getSecretValueRequest = GetSecretValueRequest.builder()
.withSecretId(secretName)
.build();
GetSecretValueResponse getSecretValueResponse = null;
try {
getSecretValueResponse = client.getSecretValue(getSecretValueRequest);
} catch(ResourceNotFoundException e) {
System.out.println("The requested secret " + secretName + " was not found");
} catch (InvalidRequestException e) {
System.out.println("The request was invalid due to: " + e.getMessage());
} catch (InvalidParameterException e) {
System.out.println("The request had invalid params: " + e.getMessage());
}
if(getSecretValueResponse == null) {
return;
}
// Decrypted secret using the associated KMS CMK
// Depending on whether the secret was a string or binary, one of these fields will be populated
if(getSecretValueResponse.getSecretString() != null) {
secret = getSecretValueResponse.getSecretString();
}
else {
binarySecretData = getSecretValueResponse.getSecretBinary();
}
// Your code goes here.
}
7 ответов
У меня была та же проблема, код, который присутствует на странице AWS, не работает "из коробки". Класс, который вы ищете GetSecretValueResult Вот последние документы Java
Вот кусок, который должен работать:
public void printRdsSecret() throws IOException {
String secretName = "mySecretName";
System.out.println("Requesting secret...");
AWSSecretsManager client = AWSSecretsManagerClientBuilder.standard().build();
GetSecretValueRequest getSecretValueRequest = new GetSecretValueRequest().withSecretId(secretName);
GetSecretValueResult getSecretValueResult = client.getSecretValue(getSecretValueRequest);
System.out.println("secret retrieved ");
final String secretBinaryString = getSecretValueResult.getSecretString();
final ObjectMapper objectMapper = new ObjectMapper();
final HashMap<String, String> secretMap = objectMapper.readValue(secretBinaryString, HashMap.class);
String url = String.format("jdbc:postgresql://%s:%s/dbName", secretMap.get("host"), secretMap.get("port"));
System.out.println("Secret url = "+url);
System.out.println("Secret username = "+secretMap.get("username"));
System.out.println("Secret password = "+secretMap.get("password"));
}
Это было проверено с aws-java-sdk-secretsmanager версии 1.11.337
Думаю, основная проблема заключалась в отсутствии зависимостей от AWS SDK v2.
Добавьте сюда фрагмент кода, который использует AWS SDK v2. На всякий случай кто-нибудь это ищет.
package com.may.util;
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.secretsmanager.SecretsManagerClient;
import software.amazon.awssdk.services.secretsmanager.model.DecryptionFailureException;
import software.amazon.awssdk.services.secretsmanager.model.GetSecretValueRequest;
import software.amazon.awssdk.services.secretsmanager.model.GetSecretValueResponse;
import software.amazon.awssdk.services.secretsmanager.model.InternalServiceErrorException;
import software.amazon.awssdk.services.secretsmanager.model.InvalidParameterException;
import software.amazon.awssdk.services.secretsmanager.model.InvalidRequestException;
import software.amazon.awssdk.services.secretsmanager.model.ResourceNotFoundException;
public class SecretsManagerUtil {
public static String obtainSecret() {
String secretName = "db_secret_name";
String region = "us-east-1";
SecretsManagerClient client = SecretsManagerClient.builder().region(Region.of(region)).build();
GetSecretValueResponse response = null;
try {
response = client.getSecretValue(GetSecretValueRequest.builder().secretId(secretName).build());
} catch (DecryptionFailureException e) {
// Secrets Manager can't decrypt the protected secret text using the provided KMS key.
// Deal with the exception here, and/or rethrow at your discretion.
throw e;
} catch (InternalServiceErrorException e) {
// An error occurred on the server side.
// Deal with the exception here, and/or rethrow at your discretion.
throw e;
} catch (InvalidParameterException e) {
// You provided an invalid value for a parameter.
// Deal with the exception here, and/or rethrow at your discretion.
throw e;
} catch (InvalidRequestException e) {
// You provided a parameter value that is not valid for the current state of the resource.
// Deal with the exception here, and/or rethrow at your discretion.
throw e;
} catch (ResourceNotFoundException e) {
// We can't find the resource that you asked for.
// Deal with the exception here, and/or rethrow at your discretion.
throw e;
}
return response.secretString();
}
}
Десериализовать и распечатать секрет:
public class SecretPrinter {
private static final Logger logger = LoggerFactory.getLogger(SecretPrinter.class);
public void printSecret() {
String json = SecretsManagerUtil.obtainSecret(); // secret in json format
RdsSecret secret;
try {
secret = new ObjectMapper().disable(FAIL_ON_UNKNOWN_PROPERTIES).readValue(json, RdsSecret.class);
} catch (IOException e) {
logger.error("Couldn't parse secret obtained from AWS Secrets Manager!");
throw new RuntimeException(e);
}
System.out.println("username: " + secret.getUsername());
System.out.println("password: " + secret.getPassword());
}
static class RdsSecret {
private String username;
private String password;
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
}
}
Maven:
<dependencyManagement>
<dependencies>
<dependency>
<groupId>software.amazon.awssdk</groupId>
<artifactId>bom</artifactId>
<version>2.6.3</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<dependency>
<groupId>software.amazon.awssdk</groupId>
<artifactId>secretsmanager</artifactId>
</dependency>
Gradle:
implementation platform('software.amazon.awssdk:bom:2.6.3')
implementation 'software.amazon.awssdk:secretsmanager'
aws-secretsmanager-jdbc можно использовать для доступа к AWS RDS через диспетчер секретов AWS. https://github.com/aws/aws-secretsmanager-jdbc
Ниже приводится содержание моего application.properties
spring.datasource.url=jdbc-secretsmanager:mysql://dev-xxxx-database.cluster-xxxxxxxxx.ap-southeast-1.rds.amazonaws.com:3306/dev_xxxxxx
spring.datasource.username=/secret/application
spring.datasource.driver-class-name=com.amazonaws.secretsmanager.sql.AWSSecretsManagerMySQLDriver
spring.jpa.database-platform = org.hibernate.dialect.MySQL5Dialect
Ниже приведен секрет секретного менеджера AWS.
Используя этот метод, вам не нужно вручную получать имя пользователя и пароль и создавать источники данных.
Я столкнулся с той же проблемой. просто удалите строку области действия, т.е. «тест», из зависимости. Это сработает
Я рекомендую использовать оболочку aws secret manger jdbc для доступа к RDS (https://github.com/aws/aws-secretsmanager-jdbc). Вам не нужно иметь дело с получением секрета, декодированием и перемещением пароля в тексте перед передачей клиенту RDS.
Просто передайте секретный идентификатор клиенту RDS, а оболочка jdbc сделает все остальное.
Просто добавьте библиотеку в ваш pom: https://mvnrepository.com/artifact/com.amazonaws/aws-java-sdk-secretsmanager
Вам не хватает зависимости aws-java-sdk-secretsmanager, вам нужно добавить ее в свой pom.xml, а затем импортировать в свой класс java.
Из Maven:
<dependency>
<groupId>com.amazonaws</groupId>
<artifactId>aws-java-sdk-secretsmanager</artifactId>
<version>1.11.355 </version>
</dependency>
Если вы не используете maven, вы должны добавить AWS SDK в существующий проект.