问题描述
我想在我的 CodeDeploy 管道中使用 AWS System Managers 存储参数,放弃我在 Lightsail 上的最后一次提交。
✅ 1. 我创建了一个 SSM 参数:Mysecurestring。
参数在 securestring 上设置,KMS 加密在 Actual account 上设置,alias/aws/ssm 作为 ID。
我的 securestring 设置为:postgres://user:password@endpoint.rds.amazonaws.com:5432/myDatabase
✅ 2. 我创建了一个供 CodeDeploy 实例使用的 IAM 策略
转到 IAM 并创建附加到 MySpecificCodeDeployUser 的 JSON 策略:
{
"Version": "2012-10-17","Statement": [
{
"Sid": "VisualEditor0","Effect": "Allow","Action": [
"kms:Decrypt","ssm:GetParameter"
],"Resource": [
"arn:aws:kms:*:<accountID>:key/alias/aws/ssm","arn:aws:ssm:us-east-1:<accountID>:parameter/Mysecurestring"
]
}
]
}
✅ 3. 测试 MySpecificFCodeDeployUser 访问 SSM Mysecurestring :
输入 aws configure 以登录为 MySpecificFCodeDeployUser 并尝试在我的本地计算机上运行此命令:
aws --region=us-east-1 ssm get-parameter --name Mysecurestring --with-decryption --query Parameter.Value
RETURN ==> "postgres://user:password@endpoint.rds.amazonaws.com:5432/myDatabase"
? 请注意,删除 IAM 策略会给我一个未经授权的请求,因此 IAM 策略是正确的。
? 4. 将 Mysecurestring 添加到 CodeDeploy 执行的脚本中:
编辑我的 AfterInstall 的 appspec.yml 脚本以添加:
aws --region=us-east-1 ssm get-parameter --name Mysecurestring --with-decryption --query Parameter.Value >> .env
给我一个Failed Build和stderr:
[stderr] An error occurred (AccessDeniedException) when calling the GetParameter operation: User: arn:aws:sts::<id>:assumed-role/AmazonLightsailInstanceRole/<id> is not authorized to perform: ssm:GetParameter on resource: arn:aws:ssm:us-east-1:<id>:parameter/Mysecurestring
我看到 Lightsail 实例从服务相关角色 AWSServiceRoleForLightsail 继承自 https://lightsail.aws.amazon.com/ls/docs/en_us/articles/amazon-lightsail-using-service-linked-roles。
有没有办法向我的 Lightsail 实例添加新策略,因为它似乎不是 CodeDeploy 用户需要它?
解决方法
有没有办法向我的 Lightsail 实例添加新策略,因为它似乎不是 CodeDeploy 用户需要它?
遗憾的是,您不能这样做。要让您在 Lightsail 实例上的应用程序与 AWS 服务交互,您必须自己完成,方法是设置 .aws 凭证并让您的应用程序使用该凭证(如果您使用 AWS SDK 则自动完成)。
Lightsail 实例不支持基于用户的实例角色。为此,您需要常规 EC2 实例,如下所述: