gpt4 book ai didi

python - 超出 AWS Lambda 策略长度 - 向 lambda 函数添​​加规则

转载 作者:太空狗 更新时间:2023-10-30 01:11:20 27 4
gpt4 key购买 nike

我有一个网站可以动态创建附加了 cron 事件的规则。所有这些规则都关联并调用单个 lambda 函数。

我正在使用 python 和 boto3 生成规则并将它们应用于 Lambda 函数。 (如果看到我生成规则和事件的 python 代码会有所帮助,我很乐意将其包含在此处。)


一切正常,但是在使用我的网站并创建了大约 68 条规则后,我收到了这个错误:

PolicyLengthExceededException: An error occurred (PolicyLengthExceededException) when calling the AddPermission operation: The final policy size (20642) is bigger than the limit (20480).

每次我创建规则及其事件时,都需要向 lambda 的函数策略添加权限,在大约 68 条规则之后,函数策略变得太大。

我该如何解决这个问题?


这是一个示例权限:

{
"Sid": "<some_random_id_for_this_permission",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:<some_arn_id>:function:_MyFunction",
"Condition": {
"ArnLike": {
"AWS:SourceArn": "arn:aws:events<some_arn_id>:rule/my_rule_1"
}
}

AWS:SourceArn是规则的唯一值,所以我想我可以使用 *允许所有规则。所以我尝试将 AWS:SourceArn 的值作为值:

arn:aws:events<some_arn_data>:rule/*

但是在功能仪表板上,在 CloudWatch Events 列表所在的下方,它只说:

The rule * could not be found.


有没有一种方法可以使权限适用于所有规则?

如果不是,是否有其他解决方法?

如果没有办法直接解决这个问题,我可以为网站上的每条记录创建一个单独的 lambda,而不是为所有指向一个 lambda 的每条记录创建单独的规则。有什么理由说创建一个单独的 lambda 会是个坏主意吗?例如,您可以拥有的 Lambda 函数数量是否有限制?

最佳答案

在许多情况下,我认为 Lambda 控制台会产生一种错觉,即 Lambda 知道“已连接”以触发函数的事件源。在某些情况下,例如 DynamoDB 流和 SQS,Lambda 服务 知道这些事情,因为它们会触发函数,因为 Lambda 服务的一部分实际上在后台轮询这些服务以“消费”它们——而其他服务会在事件发生时将它们推送到 Lambda(例如 S3、CloudWatch 事件)。

这是我对这个结论的理由:

Event sources maintain the event source mapping, except for the poll-based services (Amazon Kinesis Data Streams, Amazon DynamoDB Streams and Amazon Simple Queue Service). For the poll-based services, AWS Lambda maintains the event source mapping.

https://docs.aws.amazon.com/lambda/latest/dg/invoking-lambda-function.html

对于其他来源,控制台本身似乎在进行“发现”API 调用,以尝试将这些东西拼凑在一起以将它们呈现给用户。

这似乎是该逻辑中的错误。

某些东西正在解析函数策略并将 ArnLike 条件错误地视为文字字符串匹配。本质上是一个表面错误,因为正如评论中提到的那样,该政策似乎确实按预期工作。

并且,此通配符策略可能是实现预期目标的最佳方式,尽管您可能希望更具体一些,在 * 之前使用字符串前缀。这是否有必要取决于允许多少用户和/或角色创建这些事件,以及您是否需要更细粒度的权限控制。

或者,应该可以做这样的事情:

Condition": {
"ArnLike": {
"AWS:SourceArn": [
"arn:aws:events<some_arn_id>:rule/my_rule_1",
"arn:aws:events<some_arn_id>:rule/my_rule_2",
"arn:aws:events<some_arn_id>:rule/my_rule_3"
]
}
}

但这仍然无法像通配符那样扩展,如果不在外部存储这些 ARN,如果您的应用程序导致对策略文档的写入冲突,您可以轻松地自动执行错误配置并“错放”ARN。

关于python - 超出 AWS Lambda 策略长度 - 向 lambda 函数添​​加规则,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51431947/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com