AWS Secrets Manager 异常访问被拒绝

Question

该问题简要说明：

当我的 Web 应用程序对 AWS Secrets Manager 进行 API 调用以获取密钥/数据时，我收到此 AWSSecretsManagerException AccessDenied。

更详细一点的问题：

我有一个部署到 AWS ElasticBeanstalk 的 Web 应用程序 war 文件。 我在 AWS Amplify 上有一个前端 React 应用程序，它向 WAR 文件发出 HTTPS 请求。

作为处理此请求的一部分，Web 应用程序与 PayPal 的 API 接口。 要成功请求使用 PayPal 的 API，我需要一个令牌。 要获取该令牌，我的 Web 应用程序需要向 PayPal 发出请求，以通过发送我的 PayPal Client ID和Secret key来获取该令牌。

为了不将其硬编码到应用程序中或使用纯文本格式的客户端 ID 和密钥拥有本地配置文件，我决定使用 AWS Secrets Manager 将它们存储在 AWS 中。 要访问存储在我的应用程序中的密钥，我需要使用 AWS Secrets Manager SDK。 我通过在我的 Web 应用程序 pom 文件中包含这个依赖来做到这一点。

<dependency>
    <groupId>com.amazonaws</groupId>
    <artifactId>aws-java-sdk-secretsmanager</artifactId>
    <version>1.11.700</version>
</dependency>

然后，我添加了使用 AWS Secrets Manager SDK API 检索客户端 ID 和密钥的代码。

当我在 Payara 服务器上的机器上本地运行我的 Web 应用程序时，它可以工作。 这意味着我的机器上有一个本地 React 应用程序，该应用程序将 HTTP 请求发送到 Payara（而不是 AWS）上的本地 Web 应用程序，并且该 Web 应用程序成功地从 AWS Secrets Manager 中提取了客户端 ID 和机密。

但是，当我将 Web 应用程序部署到 Elastic Beanstalk EC2 实例时，我从 AWS Amplify 上的前端 React 应用程序中收到了上述异常。

Answer 1

几个小时后，我解决了问题。

首先，您必须注意 Exception 中列出的 Role（查看粗体文本）：

com.amazonaws.services.secretsmanager.model.AWSSecretsManagerException：用户：arn:aws:sts::<......>:assumed-role/ aws-elasticbeanstalk-ec2-role /<...>未授权执行：secretsmanager:GetSecretValue 资源：arn:aws:secretsmanager:us-east-1:<......>:secret:<.....>（服务：AWSSecretsManager；状态代码：400 ; 错误代码: AccessDeniedException; 请求 ID: <......>)

当您在 AWS 控制台中时，转到AWS->IAM 。 从那里单击左侧的角色链接。 请注意上面粗体文本中的角色在此处列出（文本以红色圈出）。

双击那个。

在此屏幕截图中，我已经这样做了，但最初没有SecretsManagerReadWrite策略（以红色圈出）。

要获得该政策，请单击“附加政策”。 然后在下一页搜索SecretsManagerReadWrite ，然后单击复选框。 单击“附加策略”按钮，现在该角色已拥有！

现在，来自 AWS Amplify 上的 React 应用程序的 HTTPS 请求向 ElasticBeanstalk 上的 Web 应用程序发出请求，并且我不再收到AWSSecretsManagerException AccessDenied消息！