在开发涉及 aws 服务的应用程序时,使用 jest 进行单元或集成测试是常见的实践。然而,当测试需要与实际的 aws 资源(例如 dynamodb)交互时,确保 jest 能够正确获取并使用 aws 凭证成为了一个关键挑战。特别是当使用 awsume 这类工具管理临时凭证,并且通过 ide 插件(如 vs code 的 jest 插件)运行测试时,由于 jest 进程可能无法继承或访问由 awsume 在特定终端会话中设置的环境变量,从而导致认证失败。以下将详细介绍两种有效的解决方案。
策略一:通过环境变量传递临时 AWS 凭证
解决 Jest 无法访问 AWS 凭证问题的最直接方法是,确保在 Jest 进程启动时,所需的 AWS 凭证环境变量已经设置在其运行环境中。AWS SDK 会自动查找并使用这些标准环境变量进行认证。
核心原理: AWS SDK 优先从环境变量中读取凭证信息。当您使用 awsume 获取临时凭证后,这些凭证(包括访问密钥 ID、秘密访问密钥和会话令牌)通常会被设置到当前 shell 会话的环境变量中。如果 Jest 在同一个 shell 会话中启动,它将能够继承这些变量。然而,如果 Jest 是由一个独立的进程(例如 IDE 插件)启动,并且该进程没有继承父 shell 的环境变量,那么就需要显式地设置这些变量。
操作步骤:
-
获取临时凭证: 使用 awsume 加载您的 AWS 配置文件。例如:
awsume your-profile-name
执行此命令后,AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY 和 AWS_SESSION_TOKEN 等环境变量将在当前终端会话中被设置。
-
在 Jest 运行前设置环境变量: 如果您是手动在终端运行 Jest,并且 awsume 已经将凭证设置到了当前会话,那么直接运行 Jest 即可:
jest --runInBand # 或您常用的 Jest 命令
如果 Jest 是通过一个不继承当前 shell 环境的工具(如某些 IDE 插件)启动,您可能需要捕获 awsume 的输出并手动设置这些变量(这通常不推荐直接手动操作,因为凭证是临时的)。更实际的做法是确保 Jest 在一个已经设置了这些环境变量的子进程中运行。
示例: 假设您需要将 awsume 输出的凭证传递给 Jest。虽然 awsume 通常直接设置环境,但为了演示如何显式设置,可以这样操作(此方法更适用于非 awsume 场景或捕获 awsume 输出):
# 假设您已通过某种方式获取到临时凭证的值 export AWS_ACCESS_KEY_ID="ASIA..." export AWS_SECRET_ACCESS_KEY="abcdef..." export AWS_SESSION_TOKEN="FwoG..." # 如果是临时凭证,通常包含此项 # 运行 Jest 测试 jest --runInBand
重要提示: 请勿将实际凭证硬编码到代码或脚本中。上述 export 命令仅用于演示,实际操作中应确保这些值是从安全来源(如 awsume 或 CI/CD 环境变量)动态获取的。
策略二:创建自定义脚本整合凭证加载与 Jest 执行
对于更复杂或更自动化的场景,特别是当 IDE 插件无法直接继承终端环境变量时,创建一个封装脚本来负责加载凭证并执行 Jest 是一个更健壮的解决方案。
核心原理: 这个脚本将首先调用 awsume 来加载凭证,确保这些凭证在脚本的执行环境中可用,然后在这个相同的环境中启动 Jest。这样,Jest 进程将能够正确地访问所需的 AWS 凭证。
操作步骤:
创建脚本文件: 在项目根目录或合适的工具目录中创建一个脚本文件,例如 run-jest-with-awsume.sh。
-
编写脚本内容:
#!/bin/bash echo "尝试加载 AWS 凭证..." # 使用 awsume 加载指定配置文件的凭证。 # -E 参数确保 awsume 输出可用于 eval 的 export 语句。 # 将 'your-awsume-profile' 替换为你的 awsume 配置文件名。 # 注意:awsume 通常会提示你选择一个配置文件,或者你可以通过环境变量指定。 # 这里假设 'your-awsume-profile' 是你希望使用的 awsume 配置文件名称。 # 确保 awsume 已经安装并配置好。 eval "$(awsume -E your-awsume-profile)" # 检查凭证是否成功加载 if [ -z "$AWS_ACCESS_KEY_ID" ] || [ -z "$AWS_SECRET_ACCESS_KEY" ]; then echo "错误:AWS 凭证加载失败。请检查 awsume 配置和配置文件名。" exit 1 fi echo "AWS 凭证已成功加载。现在运行 Jest 测试..." # 执行 Jest,并将所有传递给此脚本的参数转发给 Jest # 例如:./run-jest-with-awsume.sh --watch --testPathPattern=src/tests jest "$@" -
赋予执行权限:
chmod +x run-jest-with-awsume.sh
-
运行测试: 现在,您可以通过执行这个脚本来运行 Jest 测试,无论是在终端还是通过配置 IDE 插件来调用这个脚本:
./run-jest-with-awsume.sh # 或者传递 Jest 参数 ./run-jest-with-awsume.sh --watch
优点:
- 封装性强: 将凭证加载逻辑与 Jest 执行逻辑封装在一起,提高了可维护性。
- 兼容性好: 适用于各种 Jest 运行环境,包括那些不直接继承父进程环境变量的 IDE 插件或 CI/CD 系统。
- 明确控制: 对凭证加载过程有明确的控制权,方便调试和问题排查。
注意事项与总结
- 安全性优先: 无论是哪种方法,都应避免将 AWS 凭证硬编码到代码或版本控制系统中。awsume 等工具正是为了安全地管理临时凭证而设计的。
- 临时凭证生命周期: awsume 生成的凭证具有过期时间。如果您的测试运行时间较长,或者在凭证过期后再次运行测试,需要重新加载凭证。
- CI/CD 环境: 在持续集成/持续部署 (CI/CD) 环境中,通常有更安全的凭证管理机制,例如使用 IAM 角色(通过 OIDC 或 EC2 实例配置文件)或 CI/CD 平台自带的秘密管理功能,而非 awsume。
- VS Code Jest 插件: 如果在使用 VS Code 的 Jest 插件时遇到问题,可以尝试配置插件以调用上述自定义脚本,而不是直接调用 jest 命令。具体配置方法取决于插件版本和 VS Code 的设置。
- 选择合适的方案: 对于简单的本地开发,直接在已加载凭证的终端中运行 Jest 即可。对于需要自动化或与 IDE 深度集成的场景,自定义脚本提供了更强大的控制力和灵活性。
通过上述策略,您可以确保 Jest 在进行 AWS 服务测试时能够稳定、安全地获取所需的凭证,从而提高测试的可靠性和开发效率。选择最适合您工作流的方法,将凭证管理无缝集成到您的测试流程中。
