我有一个使用Docker在我的机器(Mac(上运行的简单web应用程序。我希望此应用程序从AWS Secret Manager加载机密。应用程序是否需要承担IAM角色才能加载机密?
此外,我最终将把这个容器部署到一个自管理的Kubernetes集群(没有EKS/ECS(。加载机密的过程类似吗?
这是一个Python fastAPI应用程序,但欢迎使用Spring Boot中的示例。我对这个过程更感兴趣。
在这种情况下,有更多的方法可以到达罗马,但有一种方法可能是:
- 创建一个可以访问KMS密钥的用户
- 为该用户创建访问密钥
- 将该用户的访问密钥和用户名设置为本地环境中的环境变量
当部署到您自己的K8S集群时,您还可以在Pod上设置环境变量(可能通过某种CI/CD管道(。
boto3模块知道它将尝试对自己进行身份验证的特定顺序,您可以在此处找到更多详细信息。只要确保正确命名环境变量即可。