Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Abrufen von Secret-Werten
Verwenden Sie den Secret Manager IPC-Service, um Secret-Werte aus Secrets auf dem Core-Gerät abzurufen. Sie verwenden die Secret-Manager-Komponente, um verschlüsselte Secrets auf -Core-Geräten bereitzustellen. Anschließend können Sie eine IPC-Operation verwenden, um das Secret zu entschlüsseln und seinen Wert in Ihren benutzerdefinierten Komponenten zu verwenden.
SDK-Mindestversionen
In der folgenden Tabelle sind die Mindestversionen von aufgeführtAWS IoT Device SDK, die Sie verwenden müssen, um Secret-Werte von Secrets auf dem Core-Gerät abzurufen.
SDK | Mindestversion |
---|---|
v1.2.10 |
|
v1.5.3 |
|
v1.17.0 |
|
v1.12.0 |
Autorisierung
Um Secret Manager in einer benutzerdefinierten Komponente zu verwenden, müssen Sie Autorisierungsrichtlinien definieren, die es Ihrer Komponente ermöglichen, den Wert von Secrets abzurufen, die Sie auf dem Core-Gerät speichern. Informationen zum Definieren von Autorisierungsrichtlinien finden Sie unter Autorisieren Sie Komponenten zur Ausführung von IPC-Vorgängen.
Autorisierungsrichtlinien für Secret Manager haben die folgenden Eigenschaften.
IPC-Service-ID: aws.greengrass.SecretManager
Operation | Beschreibung | Ressourcen |
---|---|---|
|
Ermöglicht einer Komponente, den Wert von Secrets abzurufen, die auf dem Core-Gerät verschlüsselt sind. |
Ein Secrets-Manager-Geheimnis-ARN oder , |
Beispiele für Autorisierungsrichtlinien
Sie können auf das folgende Beispiel für eine Autorisierungsrichtlinie verweisen, um Ihnen bei der Konfiguration von Autorisierungsrichtlinien für Ihre Komponenten zu helfen.
Beispiel für eine Autorisierungsrichtlinie
Die folgende Beispielautorisierungsrichtlinie erlaubt es einer Komponente, den Wert eines beliebigen Secrets auf dem Core-Gerät abzurufen.
Anmerkung
Wir empfehlen, dass Sie in einer Produktionsumgebung den Umfang der Autorisierungsrichtlinie reduzieren, sodass die Komponente nur die Secrets abruft, die sie verwendet. Sie können den *
Platzhalter in eine Liste geheimer ARNs ändern, wenn Sie die Komponente bereitstellen.
{ "accessControl": { "aws.greengrass.SecretManager": { "
com.example.MySecretComponent
:secrets:1": { "policyDescription": "Allows access to a secret.", "operations": [ "aws.greengrass#GetSecretValue" ], "resources": [ "*" ] } } } }
GetSecretValue
Ruft den Wert eines Secrets ab, das Sie auf dem Core-Gerät speichern.
Dieser Vorgang ähnelt dem Secrets-Manager-Vorgang, mit dem Sie den Wert eines Secrets im abrufen könnenAWS Cloud. Weitere Informationen finden Sie unter GetSecretValue in der AWS Secrets Manager-API-Referenz.
Anforderung
Die Anforderung dieser Operation hat die folgenden Parameter:
secretId
(Python:secret_id
)-
Der Name des abzurufenden Secrets. Sie können entweder den Amazon-Ressourcennamen (ARN) oder den Anzeigenamen des Secrets angeben.
versionId
(Python:version_id
)-
(Optional) Die ID der abzurufenden Version.
Sie können entweder
versionId
oderversionStage
angeben.Wenn Sie oder nicht angeben
versionId
versionStage
, wird dieser Vorgang standardmäßig auf die Version mit derAWSCURRENT
Bezeichnung gesetzt. versionStage
(Python:version_stage
)-
(Optional) Die Staging-Bezeichnung der abzurufenden Version.
Sie können entweder
versionId
oderversionStage
angeben.Wenn Sie oder nicht angeben
versionId
versionStage
, wird dieser Vorgang standardmäßig auf die Version mit derAWSCURRENT
Bezeichnung gesetzt.
Antwort
Die Antwort dieser Operation enthält die folgenden Informationen:
secretId
(Python:secret_id
)-
Die ID des Secrets.
versionId
(Python:version_id
)-
Die ID dieser Version des Secrets.
versionStage
(Python:version_stage
)-
Die Liste der Staging-Bezeichnungen, die an diese Version des Secrets angehängt sind.
secretValue
(Python:secret_value
)-
Der Wert dieser Version des Secrets. Dieses Objekt,
SecretValue
, enthält die folgenden Informationen.secretString
(Python:secret_string
)-
Der entschlüsselte Teil der geschützten geheimen Informationen, den Sie Secrets Manager als Zeichenfolge zur Verfügung gestellt haben.
secretBinary
(Python:secret_binary
)-
(Optional) Der entschlüsselte Teil der geschützten Secret-Informationen, den Sie Secrets Manager als Binärdaten in Form eines Byte-Arrays bereitgestellt haben. Diese Eigenschaft enthält die Binärdaten als base64-kodierte Zeichenfolge.
Diese Eigenschaft wird nicht verwendet, wenn Sie das Secret in der Secrets-Manager-Konsole erstellt haben.
Beispiele
Die folgenden Beispiele veranschaulichen, wie Sie diese Operation im benutzerdefinierten Komponentencode aufrufen.
Beispiele
Verwenden Sie die folgenden Beispiele, um zu erfahren, wie Sie den Secret Manager IPC-Service in Ihren Komponenten verwenden.
Diese Beispielkomponente gibt den Wert eines Secrets aus, das Sie auf dem Core-Gerät bereitstellen.
Wichtig
Diese Beispielkomponente gibt den Wert eines Secrets aus. Verwenden Sie es daher nur mit Secrets, die Testdaten speichern. Verwenden Sie diese Komponente nicht, um den Wert eines Secrets zu drucken, das wichtige Informationen speichert.
Rezept
Das folgende Beispielrezept definiert einen geheimen ARN-Konfigurationsparameter und ermöglicht es der Komponente, den Wert eines Secrets auf dem Core-Gerät abzurufen.
Anmerkung
Wir empfehlen, dass Sie in einer Produktionsumgebung den Umfang der Autorisierungsrichtlinie reduzieren, sodass die Komponente nur die Secrets abruft, die sie verwendet. Sie können den *
Platzhalter in eine Liste geheimer ARNs ändern, wenn Sie die Komponente bereitstellen.
-Artefakte
Die folgende Python-Beispielanwendung zeigt, wie der Secret Manager IPC-Service verwendet wird, um den Wert eines Secrets auf dem Core-Gerät abzurufen.
import concurrent.futures import json import sys import traceback import awsiot.greengrasscoreipc from awsiot.greengrasscoreipc.model import ( GetSecretValueRequest, GetSecretValueResponse, UnauthorizedError ) TIMEOUT = 10 if len(sys.argv) == 1: print('Provide SecretArn in the component configuration.', file=sys.stdout) exit(1) secret_id = sys.argv[1] try: ipc_client = awsiot.greengrasscoreipc.connect() request = GetSecretValueRequest() request.secret_id = secret_id operation = ipc_client.new_get_secret_value() operation.activate(request) future_response = operation.get_response() try: response = future_response.result(TIMEOUT) secret_json = json.loads(response.secret_value.secret_string) print('Successfully got secret: ' + secret_id) print('Secret value: ' + str(secret_json)) except concurrent.futures.TimeoutError: print('Timeout occurred while getting secret: ' + secret_id, file=sys.stderr) except UnauthorizedError as e: print('Unauthorized error while getting secret: ' + secret_id, file=sys.stderr) raise e except Exception as e: print('Exception while getting secret: ' + secret_id, file=sys.stderr) raise e except Exception: print('Exception occurred when using IPC.', file=sys.stderr) traceback.print_exc() exit(1)
Verwendung
Sie können diese Beispielkomponente mit der Secret-Manager-Komponente verwenden, um den Wert eines Secrets auf Ihrem Core-Gerät bereitzustellen und zu drucken.
So erstellen, stellen Sie ein Test-Secret bereit und drucken es
-
Erstellen Sie ein Secrets-Manager-Secret mit Testdaten.
Speichern Sie den ARN des Secrets, das Sie in den folgenden Schritten verwenden möchten.
Weitere Informationen finden Sie unter Erstellen eines Secrets im AWS Secrets Manager -Benutzerhandbuch.
-
Stellen Sie die Secret-Manager-Komponente (
aws.greengrass.SecretManager
) mit der folgenden Konfigurationszusammenführungsaktualisierung bereit. Geben Sie den ARN des Secrets an, das Sie zuvor erstellt haben.{ "cloudSecrets": [ { "arn": "
arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestGreengrassSecret-abcdef
" } ] }Weitere Informationen finden Sie unter Bereitstellen von AWS IoT Greengrass Komponenten auf Geräten oder im Greengrass-CLI-Bereitstellungsbefehl .
-
Erstellen Sie die Beispielkomponente in diesem Abschnitt und stellen Sie sie mit der folgenden Aktualisierung der Konfigurationszusammenführung bereit. Geben Sie den ARN des Secrets an, das Sie zuvor erstellt haben.
{ "SecretArn": "
arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestGreengrassSecret
", "accessControl": { "aws.greengrass.SecretManager": { "com.example.PrintSecret:secrets:1": { "policyDescription": "Allows access to a secret.", "operations": [ "aws.greengrass#GetSecretValue" ], "resources": [ "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestGreengrassSecret-abcdef
" ] } } } }Weitere Informationen finden Sie unter Erstellen von AWS IoT Greengrass Komponenten.
-
Zeigen Sie die AWS IoT Greengrass -Core-Softwareprotokolle an, um zu überprüfen, ob die Bereitstellungen erfolgreich sind, und zeigen Sie das
com.example.PrintSecret
Komponentenprotokoll an, um den Secret-Wert zu sehen. Weitere Informationen finden Sie unter Überwachen von AWS IoT Greengrass Protokollen.