更新:
不确定何时发生的变化,但现在这个方法可以按照描述工作了。
在流水线构建操作中还提供了一个选项,可直接设置密钥。
原始问题:
我已经为AWS CodePipeline的构建阶段设置了一个名为secret-id的环境变量,例如$SECRET_ID。
我想在CodeBuild buildspec.yml中使用它来基于我的环境从Secrets Manager获取一组机密。是否可能在buildspec文件中自引用其他变量?
这就是我预期它会工作的方式,但实际上并没有。
version: 0.2
env:
secrets-manager:
MY_SECRET: ${SECRET_ID}
phases:
build:
commands:
- echo $MY_SECRET
您只需要直接引用它。如下所示: where -
版本:0.2
环境: secrets-manager: MY_SECRET: SECRET_ID
阶段: 构建: 命令: - echo $MY_SECRET
你也可以在其中一个阶段调用 AWS API。
version: 0.2
phases:
build:
commands:
- SECRET_JSON=$(aws secretsmanager get-secret-value --secret-id $SECRET_ID)
- MY_SECRET_VALUE=$(echo $SECRET_JSON | jq -r '.SecretString' | jq -r '.mySecretKey')
- echo $MY_SECRET_VALUE
.SecretString 是由secretsmanager输出的结构体给出的,mySecretKey 是secret中键值对的自定义键。
SECRET_ID 设置为秘密名称。然后在 buildspec 中,我引用它的方式与上面完全相同。 - hyperdrive
secret-id:json-key:version-stage:version-id? - sashsecret-id:json-key的格式提供,举个例子,如果您有名为demo的秘密管理器,并且其中包含一个名为key的秘密和其内容,则需要使用demo:key,然后它将返回JSON格式。请参阅 https://docs.aws.amazon.com/codebuild/latest/userguide/build-spec-ref.html#secrets-manager-build-spec。 - Mahattam