AWS Lambdaでは、どこで安全にAPI認証情報を保存できますか？

Question

私はノード経由で外部APIにヒットするはずのAPIゲートウェイを介して設定されたラムダ関数を持っています（例：Twilio）。私は関数の資格情報をラムダ関数の中に格納したくないです。それらを設定するより良い場所はありますか？

Answer 1

あなたはAWS資格情報ではなく、外部のAPI資格情報を指していると思いますか？

私はそれが素晴らしい場所であるかどうかはわかりませんが、私はS3で資格を取得しているAWSフォーラムに投稿を見つけました。

あなたの特定のユースケースではありませんが、このフォーラムスレッドをチェックしてください。

https://forums.aws.amazon.com/thread.jspa?messageID=686261

あなたはS3上の資格情報を入れた場合は、ちょうどあなたがそれを正しく固定していることを確認してください。そのラムダ機能にのみ割り当てられている特定のIAMロールに対してのみ使用可能にすることを検討してください。

Answer 2

AWSのストレージサービスまたはデータベースサービスは、ここで問題を解決することができます。問題は、あなたの現在のAWS Lambda機能ですでに使用していることですか？それに基づいて、そして次の考慮事項：

• あなたがそれを必要とする場合は、迅速かつコストが問題ではない、あなたはそれが速い必要がある場合はAmazon DynamoDB
• を使用し、コストを気にし、Amazon ElastiCache（Redisのか、Memcacheの）
を使用すでにいくつかのリレーショナルデータベースを使用している場合は、何を使用していない場合
• 、Amazon RDS
• を使用し、使用し、高速でそれを必要としないAmazon S3

いずれの場合でも、Lambdaと選択したストレージ/データベースの排他的なアクセスを可能にするために、何らかのセキュリティポリシー（IAMロールまたはS3バケットポリシー）を作成する必要があります。

注：AWSラムダためAmazon VPCサポートは、あなたがそれはあなたのラムダ関数と同じVPCであることを確認します、選択した任意のソリューションので、角を曲がったところである（https://connect.awswebcasts.com/vpclambdafeb2016/event/event_info.htmlでより多くを学ぶ）

Answer 3

私はそれを行っていないが自分自身では、AWS KMSを利用して、関数内からAPIキーを暗号化/復号化することができ、LambdaロールにKMSキーへのアクセスを許可する必要があります。

Answer 4

これを行うための機能は、おそらくこの質問が投稿された後にラムダに追加されました。

重要な情報を格納するために環境変数を使用することを推奨します。 AWSラムダコンソールを使用してラムダ関数を作成するときに、AWSで決定されたキー（aws/lambda）を使用して暗号化されます（デフォルト）。

AWS KMSを利用して、AWSによって決定されたキーを使用するか、（暗号化ヘルパーを有効にするを選択して）独自のKMSキーを選択することができます。あらかじめ鍵を作成しておく必要があります。 AWSのDOC 1から

...

「を作成または環境変数を使用するラムダ関数を更新すると、AWSラムダは、AWSキーマネージメントサービスを使用して暗号化します。ラムダ関数が呼び出されると、それらの値は解読され、ラムダコードで利用可能になります。

リージョン内で環境変数を使用するラムダ関数を初めて作成または更新すると、AWS KMS内で自動的にデフォルトのサービスキーが作成されます。このキーは、環境変数を暗号化するために使用されます。ただし、暗号化ヘルパーを使用し、ラムダ関数の作成後にKMSを使用して環境変数を暗号化する場合は、独自のAWS KMSキーを作成して、デフォルトのキーの代わりに選択する必要があります。 。。選択したときに、デフォルトのキーがエラーを与えるだろう」

デフォルトのキーは確かに 『選ばれたときにエラーを与える』ん - 彼らは全くのドロップダウンに入れて、なぜ私は不思議されます

出典：

• AWSのDoc 1：Introduction: Building Lambda Functions » Environment Variables
• AWSドク2：Create a Lambda Function Using Environment Variables To Store Sensitive Information