Jest测试中AWS凭证的有效管理：awsume集成与临时凭证传递实践

本文旨在解决在使用awsume加载AWS凭证后，Jest测试框架无法自动访问这些凭证的问题，特别是在测试与AWS服务（如DynamoDB）交互的场景。核心解决方案是通过环境变量直接向Jest进程传递临时AWS凭证，确保其能正确认证。此外，文章还探讨了利用包装脚本自动化凭证加载和测试执行的策略，并提供了关键的最佳实践与注意事项。

理解问题背景

在开发涉及aws服务的应用程序时，我们经常需要编写测试来验证代码与aws资源的交互是否按预期工作。例如，使用jest测试与dynamodb数据库交互的控制器逻辑。为了安全和便捷地管理aws凭证，许多开发者会使用awsume这类工具来临时加载凭证到当前终端会话。然而，当通过vs code插件或其他ide集成运行jest测试时，这些测试进程可能不会继承原始终端会话的凭证，导致认证失败。

Jest作为一个独立的进程运行，它默认不会自动感知或继承由awsume加载到特定终端会话中的环境变量或凭证。因此，我们需要一种机制，将必要的AWS凭证明确地传递给Jest进程。

解决方案一：通过环境变量传递临时AWS凭证

最直接且推荐的方法是将awsume提供的临时AWS凭证作为环境变量，在执行Jest测试之前设置好。Jest进程会继承其父进程的环境变量，从而能够访问这些凭证进行认证。

AWS SDK（包括JavaScript版本）在尝试认证时，会按照特定的凭证查找顺序进行，其中就包括检查以下环境变量：

• AWS_access_KEY_ID：您的AWS访问密钥ID。
• AWS_SECRET_ACCESS_KEY：您的AWS秘密访问密钥。
• AWS_Session_TOKEN：如果使用的是临时安全凭证（如通过awsume或IAM角色获取），则需要此会话令牌。

操作步骤：

1. 加载凭证： 首先，使用awsume在您的终端会话中加载所需的AWS凭证。

   awsume <your-profile-name>

   awsume会将凭证加载到当前shell环境中。为了让Jest能够使用它们，我们需要将这些凭证显式地传递给Jest运行的进程。

2. 导出环境变量： 在同一个终端会话中，获取awsume提供的临时凭证，并将其导出为环境变量。通常，awsume会自动设置这些变量。但如果Jest插件无法访问，您可能需要手动获取并设置。

   如果您的awsume配置允许，可以直接在运行Jest之前获取并设置：

   

   智川X-Agent

   中科闻歌推出的一站式AI智能体开发平台

   121

   查看详情

   # 假设awsume已经加载了凭证，或者您可以通过某种方式获取它们 # 例如，如果您知道awsume将凭证输出到标准输出，可以捕获它们 # 更常见的是，awsume已经设置了这些环境变量 # 确保这些变量在Jest运行的会话中是可见的  # 示例：手动设置（通常awsume会自动完成） export AWS_ACCESS_KEY_ID="ASIA..." # 替换为您的实际访问密钥ID export AWS_SECRET_ACCESS_KEY="your_secret_access_key_here" # 替换为您的实际秘密访问密钥 export AWS_SESSION_TOKEN="your_session_token_here" # 替换为您的实际会话令牌（临时凭证必须包含）  # 运行Jest测试 jest

   重要提示：

   • AWS_SESSION_TOKEN对于通过awsume获取的临时凭证至关重要。如果缺少此变量，即使提供了访问密钥ID和秘密访问密钥，认证也可能失败。
   • 请勿将敏感凭证硬编码到您的代码或版本控制中。上述export命令仅用于在当前终端会临时设置，一旦终端关闭或新开终端，这些变量将不再存在。

解决方案二：使用包装脚本自动化凭证加载与Jest执行

对于更复杂的场景或为了提高自动化程度，可以创建一个简单的 shell 脚本来封装凭证加载和Jest测试的执行。这个脚本将负责在运行Jest之前，确保所有必要的AWS凭证都已正确设置。

示例 run_jest_with_aws.sh 脚本：

#!/bin/bash  # 确保脚本在错误时退出 set -e  # 1. 使用 awsume 加载 AWS 凭证 # 这会启动一个子shell，并在其中设置环境变量。 # 为了让后续的 Jest 命令也能访问这些变量，我们需要捕获它们。 # awsume 通常会直接在当前shell中设置，所以我们只需要执行它。 echo "Loading AWS credentials with awsume..." eval "$(awsume <your-profile-name> --output-env)"  # 检查凭证是否已设置（可选，但推荐） if [ -z "$AWS_ACCESS_KEY_ID" ] || [ -z "$AWS_SECRET_ACCESS_KEY" ] || [ -z "$AWS_SESSION_TOKEN" ]; then     echo "Error: AWS credentials not properly loaded by awsume."     exit 1 fi  echo "AWS credentials loaded successfully."  # 2. 运行 Jest 测试 echo "Running Jest tests..." jest "$@" # "$@" 会将所有传递给脚本的参数传递给 Jest  echo "Jest tests finished."

使用方法：

1. 将上述代码保存为 run_jest_with_aws.sh 文件。
2. 替换 <your-profile-name> 为您在 ~/.aws/config 中定义的 AWS 配置文件名。
3. 赋予脚本执行权限：chmod +x run_jest_with_aws.sh。
4. 运行脚本：./run_jest_with_aws.sh。您可以像运行 Jest 一样向此脚本传递参数，例如 ./run_jest_with_aws.sh –watch。

优点：

• 自动化： 将凭证加载和测试执行封装在一个命令中。
• 可移植性： 可以在任何支持 shell 脚本的环境中运行。
• 清晰性： 将凭证管理逻辑与测试执行逻辑分离。

注意事项与最佳实践

• 安全性： 永远不要将您的AWS凭证（包括访问密钥ID、秘密访问密钥和会话令牌）硬编码到代码中，也不要将其提交到版本控制系统。awsume和环境变量的方式都是为了临时使用，避免凭证泄露。
• CI/CD环境： 在持续集成/持续部署（CI/CD）环境中，通常不会使用awsume。CI/CD平台通常有自己的安全机制来管理AWS凭证，例如通过环境变量、IAM角色或Secrets Manager。请根据您的CI/CD提供商的推荐做法配置凭证。
• 最小权限原则： 为Jest测试使用的IAM角色或用户配置最小必需的权限。例如，如果只测试DynamoDB的读写操作，则只授予DynamoDB的读写权限，而不是完整的管理员权限。
• 本地开发体验： 对于本地开发，awsume结合环境变量或包装脚本提供了很好的平衡，既方便又相对安全。
• AWS SDK配置： 除了环境变量，AWS SDK也支持通过配置文件（~/.aws/credentials）或直接在代码中配置凭证。但在测试场景下，通过环境变量传递临时凭证通常是最灵活和安全的做法。

总结

当Jest测试无法访问通过awsume加载的AWS凭证时，最有效的解决方案是利用环境变量。通过确保AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY和AWS_SESSION_TOKEN在Jest进程的环境中正确设置，可以使Jest能够成功地与AWS服务进行认证和交互。对于需要更高自动化程度的场景，可以考虑使用包装脚本来统一管理凭证加载和测试执行流程。无论选择哪种方法，始终要牢记凭证管理的安全性原则，避免敏感信息泄露。