在现代云原生应用开发中,使用jest等测试框架对与aws服务交互的代码进行单元或集成测试是常见的实践。然而,当涉及到aws凭证管理时,尤其是使用像awsume这样的工具来加载临时凭证到终端会话时,可能会遇到一个挑战:jest测试(特别是通过vs code插件运行时)无法访问这些在独立终端会话中加载的凭证,从而导致认证失败,例如在测试dynamodb控制器时。
挑战:Jest与awsume凭证隔离
awsume是一个强大的工具,用于在终端会话中方便地加载AWS临时凭证。它通常会将AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY和AWS_SESSION_TOKEN等环境变量设置到当前shell环境中。当您在同一个终端中手动运行jest命令时,Jest进程会继承这些环境变量,从而能够正确地认证到AWS。
然而,当您通过VS Code的Jest插件运行测试时,该插件通常会在一个独立的、不继承当前终端会环境变量的进程中启动Jest。这意味着Jest进程无法获取到由awsume设置的临时凭证,导致测试失败并报错,提示缺少AWS凭证。
解决方案一:通过环境变量直接传递AWS凭证
最直接且推荐的解决方案是,在Jest运行之前,将所需的AWS临时凭证作为环境变量明确地传递给Jest进程。AWS SDK默认会检查特定的环境变量来获取凭证,这使得此方法非常有效。
核心原理: AWS SDK(无论是JavaScript、Python还是其他语言)遵循一个标准的凭证链查找过程。其中一个优先级较高的就是从环境变量中读取凭证。这些环境变量包括:
- AWS_ACCESS_KEY_ID: 您的AWS访问密钥ID。
- AWS_SECRET_ACCESS_KEY: 您的AWS秘密访问密钥。
- AWS_SESSION_TOKEN: 如果您使用的是临时安全凭证(如通过awsume或STS获取),则需要此令牌。
操作步骤:
-
获取临时凭证: 首先,使用awsume加载您的凭证。通常,awsume会输出或设置这些变量。您可以通过以下命令查看当前会话中的凭证(请注意,这可能会将凭证打印到屏幕上,生产环境中请谨慎操作):
# 假设您已经awsume到某个角色 echo "AWS_ACCESS_KEY_ID: $AWS_ACCESS_KEY_ID" echo "AWS_SECRET_ACCESS_KEY: $AWS_SECRET_ACCESS_KEY" echo "AWS_SESSION_TOKEN: $AWS_SESSION_TOKEN"
如果您需要更程序化的方式获取,awsume本身也支持输出JSON格式的凭证。
-
设置环境变量: 在运行Jest测试的终端会话中,手动或通过脚本设置这些环境变量。
export AWS_ACCESS_KEY_ID="YOUR_ACCESS_KEY_ID" export AWS_SECRET_ACCESS_KEY="YOUR_SECRET_ACCESS_KEY" export AWS_SESSION_TOKEN="YOUR_SESSION_TOKEN" # 如果是临时凭证,务必包含此项
请务必将YOUR_ACCESS_KEY_ID、YOUR_SECRET_ACCESS_KEY和YOUR_SESSION_TOKEN替换为awsume为您生成的实际值。
运行Jest测试: 设置完环境变量后,无论是通过VS Code的Jest插件还是直接在终端中运行jest命令,Jest进程都将能够访问这些凭证并成功认证到AWS服务。
示例代码: 在您的测试文件(例如dynamoDBController.test.js)中,当您的代码尝试与DynamoDB交互时,AWS SDK将自动使用这些环境变量进行认证。
// dynamoDBController.js
import { DynamoDBClient } from "@aws-sdk/client-dynamodb";
import { DynamoDBDocumentClient, GetCommand } from "@aws-sdk/lib-dynamodb";
const client = new DynamoDBClient({});
const docClient = DynamoDBDocumentClient.from(client);
export const getItemFromTable = async (tableName, key) => {
const command = new GetCommand({
TableName: tableName,
Key: key,
});
const response = await docClient.send(command);
return response.Item;
};
// dynamoDBController.test.js
import { getItemFromTable } from './dynamoDBController';
describe('DynamoDB Controller', () => {
it('should retrieve an item from DynamoDB', async () => {
// 假设您的测试DynamoDB表名为 'TestTable'
// 并且有一个ID为 '123' 的项目
const item = await getItemFromTable('TestTable', { id: '123' });
expect(item).toBeDefined();
expect(item.id).toBe('123');
// 更多断言...
});
});在运行上述测试之前,请确保已设置好环境变量。
解决方案二:使用封装脚本自动化凭证加载与测试执行
如果每次手动设置环境变量过于繁琐,或者您希望确保awsume总是在Jest之前运行,您可以创建一个简单的shell脚本来封装这个过程。
操作步骤:
创建脚本文件: 在项目根目录创建一个脚本文件,例如run-jest-with-aws.sh。
-
编写脚本内容: 脚本首先调用awsume加载凭证,然后运行Jest。
#!/bin/bash # 确保awsume已安装并配置 # 替换为您的awsume配置文件或别名 # 例如:awsume dev-role -s 3600 # awsume 会自动设置环境变量 awsume YOUR_AWS_PROFILE_OR_ROLE # 检查awsume是否成功设置了凭证 if [ -z "$AWS_ACCESS_KEY_ID" ]; then echo "Error: AWS credentials not loaded by awsume." exit 1 fi echo "AWS credentials loaded. Running Jest tests..." # 运行Jest测试 # 您可以传递任何Jest参数 jest "$@"
将YOUR_AWS_PROFILE_OR_ROLE替换为您实际使用的awsume配置文件名或角色别名。
-
赋予执行权限:
chmod +x run-jest-with-aws.sh
-
运行测试: 现在,您可以通过执行这个脚本来运行Jest测试:
./run-jest-with-aws.sh
如果您希望通过VS Code的Jest插件运行,可能需要配置插件来调用这个脚本,但这通常比直接调用jest复杂。此方法更适用于命令行或CI/CD环境。
最佳实践与注意事项
- 安全性至关重要: 永远不要将AWS凭证硬编码到您的代码或版本控制中。awsume和环境变量是管理临时凭证的推荐方式。在CI/CD环境中,应使用IAM角色或CI/CD平台提供的秘密管理服务来安全地注入凭证。
- 临时凭证: awsume主要用于获取临时凭证,这些凭证具有过期时间。这意味着您可能需要在凭证过期后重新运行awsume或重新启动会话。
-
AWS SDK凭证链: 了解AWS SDK的凭证链查找顺序很有帮助。它通常会按以下顺序查找凭证:
- 环境变量 (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN)
- 共享凭证文件 (~/.aws/credentials)
- EC2实例配置文件/ECS任务角色 (适用于在AWS环境中运行) 通过环境变量传递凭证是最高优先级之一,因此非常有效。
- VS Code Jest插件配置: 如果您频繁使用VS Code Jest插件,并且希望它能自动处理凭证,可以尝试查找插件是否有配置选项允许您在运行测试前执行一个shell命令或设置环境变量。如果不支持,那么在独立的终端中设置环境变量并手动运行Jest,或者使用上述封装脚本在终端中运行,可能是更可靠的方法。
总结
在Jest测试中处理AWS凭证,特别是当使用awsume管理临时凭证时,关键在于确保Jest进程能够访问到这些凭证。通过设置AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY和AWS_SESSION_TOKEN等环境变量是解决这一问题的最直接和推荐的方法。对于更复杂的场景或自动化需求,可以考虑使用封装脚本来统一凭证加载和测试执行流程。始终牢记安全性原则,避免硬编码凭证,并充分利用AWS提供的临时凭证机制。
