問題タブ [aws-secrets-manager]

python3 (kivy) を実行しているスタンドアロン アプリケーションを使用して、AWS シークレット (boto3 構成) を取得しようとしています。

クライアントは boto3 を使用し、ハードコードされた資格情報で正常に動作します。

get_credentials_for_identityboto3で使用して信用を得ようとしています。

フェデレーション ID プールを作成し、Secrets Manager にアクセスするためのポリシーを割り当てました。

また、一般的な Cognito ロールを使用して同じことを行いました。(これが問題ではないことはわかっていますが、私たちは皆、何かを解決しようとしてばかげたことをしていると確信しています)。

私に間違っていることを教えてくれAccessKeyIdますSecretKey。これを保持している IAM のアクセス キー/シークレットを求めていると思いますidentityが、アクセスしている IAM ロールのアクセス キー/シークレットが必要なので、secrets managerそれらを boto3 にフィードしてクレド/シークレットを取得できます。

私も同じことが必要ですが、user pool自分がやっている愚かさに気づいたら、それを設定できます。

GET パラメータの API キーを使用して、アップストリーム API (HTTP) プロキシ統合の 1 つであることを証明する API ゲートウェイを維持しています。(特定の制限により、現時点ではより堅牢なクライアント SSL 証明書を作成できません。)

現在、この API キーは、HTTP プロキシ統合の URL クエリ文字列パラメータ セクションで静的な値として提供されています。

キーをローテーションする時が来ました。クライアントとバックエンドのために、この問題に対するより集中化/統合されたソリューションが必要です。

AWS Secrets Manager から API Gateway 統合にシークレットを注入する最も直接的で簡単な方法は何ですか?

関連するシークレットをそれぞれのオーソライザーラムダからリクエストコンテキストにロードすることを想像できますが、これは間違っているようです: 別々の懸念が混ざり合っています.

ヒントをお寄せいただきありがとうございます。