尝试使用 KMS 解密 Lambda 函数中的密文会导致超时

使用 AWS CLI 从命令行解密密文时，密文可以顺利解密：

$ aws kms decrypt --ciphertext-blob fileb://encrypted-secrets --output text --query Plaintext --region us-east-1 | base64 --decode > decryped-secrets

当尝试从 js 脚本执行此解密操作时，此解密操作也可以在本地运行：

#!/usr/local/bin/node

const fs = require('fs');
const AWS = require('aws-sdk');
const kms = new AWS.KMS({region:'us-east-1'});

const secretPath = './encrypted-secrets';
const encryptedSecret = fs.readFileSync(secretPath);

const params = {
      CiphertextBlob: encryptedSecret
};

kms.decrypt(params, function(err, data) {
  if (err) {
    console.log(err, err.stack);
  } else {
    const decryptedScret = data['Plaintext'].toString();
    console.log('decrypted secret', decryptedScret);
  }
});

但是，当尝试在 AWS Lambda 函数的上下文中使用与上述几乎相同的代码执行此操作时，该函数的调用会导致超时：

'use strict';

const zlib = require('zlib');
const mysql = require('mysql');
const fs = require('fs');
const AWS = require('aws-sdk');
const kms = new AWS.KMS({region:'us-east-1'});

const secretPath = './encrypted-secrets';
const encryptedSecret = fs.readFileSync(secretPath);

const params = {
    CiphertextBlob: encryptedSecret
};

exports.handler = (event, context, callback) => {
    kms.decrypt(params, (err, data) => {
       if (err) {
            console.log(err, err.stack);
            return callback(err);
        } else {
            const decryptedScret = data['Plaintext'].toString();
            console.log('decrypted secret', decryptedScret);
            return callback(null, `Successfully processed ${parsed.logEvents.length} log events.`);
        }
    });
};

超时日志：

START RequestId: start-request-id-redacted Version: $LATEST
END RequestId: end-request-id-redacted
REPORT RequestId: report-requested-id-redacted  Duration: 10002.43 ms   Billed Duration: 10000 ms   Memory Size: 128 MB Max Memory Used: 18 MB  
2016-11-13T19:22:28.774Z task-id-redacted Task timed out after 10.00 seconds

Notes:

• 如果我注释掉对kms.decrypt并尝试console.log the params或者任何其他东西，这些值的输出都没有问题。似乎存在某种问题kms.decrypt调用，并且超出超时时间不会返回任何实际错误。
• 附加到调用 lambda 函数的角色的策略包含附加策略AWSLambdaVPCAccessExecutionRole，以及以下附加的内联策略：

policygen-lambda_basic_execution_and_kms_decrypt-201611131221:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "sid-redacted",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:account-redacted:key/key-id-redacted"
            ]
        }
    ]
}

• 我已经从代码中删除了所有识别信息。

在与非常乐于助人的 AWS 支持人员进行一番交谈后，我们得到了答案：

超时的主要原因是由于 KMS 服务在配置 Lambda 函数的 VPC 中没有终端节点，导致 Lambda 函数内部缺乏与 KMS 服务的连接。

为了使 VPC 中的 Lambda 函数能够连接到anyAmazon S3 以外的服务，does如果 VPC 中有一个终端节点，则 Lambda 函数必须位于至少一个（但最好是两个）私有子网中/与其关联，其路由表包括到 NAT 网关的目标路由 0.0.0.0/16。

It is not可以让 Lambda 函数位于具有 Internet 网关的公共子网中。

获取 VPC 绑定的 Lambda 函数以访问 KMS 和没有 VPC 终端节点的所有其他服务的步骤：

1. Create or take note of an existing Private Subnet, which has a routing table entry for 0.0.0.0/0 to a NAT Gateway.
   • 如果您还没有上面指定的 NAT 网关、路由表和子网，则必须首先创建它们并将它们适当地相互关联。
2. 创建 Lambda 函数时，将 Lambda 函数附加到上面的私有子网，或者编辑 Lambda 函数以具有该配置。

如果您按照这两个步骤操作，您应该能够调用kms.encrypt以及来自 Lambda 函数内的其他请求，这些请求需要出站/出口互联网连接，因为这些服务在您的 VPC 内没有终端节点。