AWS App Runner 是否支持访问 secrets manager 中的值

Question

我正在使用 Terraform 创建 App Runner 实例和 Secrets 管理器。

尝试从 App Runner 访问秘密管理器时出现套接字超时错误。
我是 App runner 的新手，但我认为 App runner 可以访问秘密管理器。

该应用程序需要在启动时访问数据库，但无法在启动时检索存储在秘密管理器中的数据库连接，因此 App Runner 的部署失败。

Error: Caused by: org.apache.http.conn.ConnectTimeoutException: 
Connect to sts.us-east-1.amazonaws.com:443 
[sts.us-east-1.amazonaws.com/54.239.24.200] failed: Connect timed out

Answer 1

它看起来目前不受支持，但在路线图上。 在此处查看 AWS App Runner 路线图：

https://github.com/aws/apprunner-roadmap

您还可以投票支持此特定功能请求：

https://github.com/aws/apprunner-roadmap/issues/6

Answer 2

2022 年 12 月： apprunner-roadmap问题 6 （“外部配置/秘密来源”）刚刚有两个更新：

• 来自 Amazon WebServices 的Hari Ohm Prasath补充说：

  该团队正在积极致力于此功能，我们将在接下来的几周内向您通报最新进展。

• Andreas Donig建议：

  不确定这是否是一个可行的解决方法，因为我没有尝试过，但是否可以将秘密ARN作为环境变量传递给容器并在那里使用awscli获取秘密值并对其进行处理，比如放在docker-entrypoint.sh的容器命令执行环境中，像这样：

   #!/bin/bash set -euxo pipefail MY_SECRET_VALUE=$(aws secretsmanager get-secret-value --secret-id $MY_SECRET_ARN --query SecretString --output text) exec env MY_VARIABLE=$MY_SECRET_VALUE "$@"

  我相信只要您有一个连接到具有 Secrets Manager VPC 端点的 VPC 的 VPC 连接器并且您的任务角色允许容器访问 Secrets Manager，它就应该可以工作。

Answer 3

App Runner 现在支持 Secrets Manager 和 SSM 参数： https://aws.amazon.com/about-aws/whats-new/2023/01/aws-app-runner-secrets-configuration-aws-secrets-systems-manager/