Xin chào mọi người, hôm nay mình sẽ chia sẻ một cách đơn giản nhưng khá quan trọng để bảo mật các thông tin nhạy cảm (như API key, password, secret token...) trong Lambda function là sử dụng AWS Systems Manager (SSM) Parameter Store

Thay vì hard-code các giá trị nhạy cảm vào mã nguồn hoặc file .env, bạn có thể lưu trữ chúng một cách bảo mật trong Parameter Store và chỉ cho phép Lambda truy cập đúng thông tin cần thiết

1. Parameter Store là gì?

AWS Systems Manager Parameter Store là một dịch vụ giúp lưu trữ các cấu hình, biến môi trường hoặc secret theo cách an toàn. Nó hỗ trợ việc lưu dưới dạng plain text hoặc encrypted, quản lý version cho từng parameter, hay tích hợp tốt với Lambda, EC2, ECS...

2. Tạo một parameter trong SSM

Để bắt đầu, chúng ta sẽ tạo một parameter chứa thông tin nhạy cảm (ví dụ API key) trong AWS Systems Manager.

1. Truy cập SSM Console
2. Click Create parameter
3. Nhập các thông tin như sau:
   • Name: tên định danh theo dạng /prefix/name (ví dụ: /myapp/api-key)
   • Tier: chọn Standard (hoặc Advanced nếu bạn cần nhiều hơn 100000 params)
   • Type:
     • String: nếu giá trị không cần mã hóa
     • StringList: nếu cần lưu danh sách các chuỗi, cách nhau bằng dấu phẩy (ví dụ: admin,user,test)
     • SecureString: nếu muốn mã hóa nội dung bằng KMS
4. Data type: để mặc định là text
5. Value: nhập giá trị bạn cần lưu
6. Click Create parameter

3. Thiết lập Lambda permission

Sau khi đã tạo parameter trong SSM, bước tiếp theo là đảm bảo hàm Lambda có quyền đọc được giá trị đó. Điều này được thực hiện thông qua IAM Role mà Lambda đang sử dụng.

Bạn cần gán policy bên dưới để Lambda có thể gọi API GetParameter hoặc GetParameters:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:GetParameters" ], "Resource": "arn:aws:ssm:ap-northeast-1:123456789012:parameter/myapp/*" } ]
}

Ngoài ra bạn còn có thể attach policy này bằng cách:

• Vào IAM → Roles → chọn role tương ứng
• Chọn Add permissions → Attach policies

4. Đọc parameter trong Lambda Python

Sau khi đã gán quyền truy cập SSM cho Lambda, bạn có thể sử dụng thư viện boto3 để truy xuất các parameter trực tiếp từ mã Python.

Cài thư viện boto3 nếu test local:

pip install boto3

Bạn có thể tham khảo đoạn code dưới đây:

import boto3 ssm = boto3.client('ssm') def lambda_handler(event, context): try: response = ssm.get_parameter( Name='/myapp/api-key', WithDecryption=True # nên đặt True nếu là SecureString ) api_key = response['Parameter']['Value'] print("API key retrieved successfully") return { "statusCode": 200, "body": "SSM parameter loaded" } except Exception as e: print("Error retrieving parameter: {e}") return { "statusCode": 500, "body": "Error retrieving parameter" } 

5. Tổng kết

SSM Parameter Store là một công cụ đơn giản nhưng khá mạnh mẽ để bảo vệ các thông tin nhạy cảm khi làm việc với AWS Lambda. Việc tách cấu hình ra khỏi source code không chỉ giúp tăng tính bảo mật, mà còn giúp hệ thống dễ bảo trì, mở rộng và tuân thủ các tiêu chuẩn bảo mật.

Nếu bạn đang làm việc với API key, secret token, hoặc bất kỳ thông tin nào cần bảo vệ, hãy thử áp dụng SSM ngay từ bước đầu để xây dựng cơ sở hạ tầng an toàn hơn.

Bài viết có thể còn nhiều hạn chế, rất mong nhận được góp ý từ mọi người để mình cải thiện trong những bài sau. Cảm ơn các bạn đã theo dõi và ủng hộ!