借助 AWS Key Management Service 和 Lambda 控制台的加密帮助程序,您不仅可以为您的 Lambda 函数指定配置设置,还可以使用环境变量存储数据库密码等敏感信息。有关更多信息,请参阅环境变量加密。以下示例将向您展示如何完成这一操作,以及如何使用 KMS 解密敏感信息。
本教程将演示如何使用 Lambda 控制台来加密包含敏感信息的环境变量。
环境变量加密
当您创建或更新使用环境变量的 Lambda 函数时,AWS Lambda 将使用 AWS Key Management Service 对其进行加密。当系统调用您的 Lambda 函数时,这些值已被加密且可供 Lambda 代码使用。
当您第一次在某个区域中创建或更新使用环境变量的 Lambda 函数时,系统会在 AWS KMS 中自动为您创建一个默认服务密钥。此密钥用于加密环境变量。但是,如果您希望使用加密帮助程序,并在创建 Lambda 函数后使用 KMS 加密环境变量,则您必须创建自己的 AWS KMS 键并选择它而不是默认键。默认键在选择时将给出错误。创建您自己的密钥可以实现更高的灵活性,让您可以创建、轮换、禁用和定义访问控制,并审核用于保护数据的加密密钥。