- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我在 API Gateway 中创建了一个私有(private) REST API(具有 Lambda 代理集成),需要可以从 VPC 访问该 API。我已在 VPC 中为 API 网关设置了 VPC 终端节点。正如预期的那样,可以从 VPC 内部访问 API。
VPC 终端节点(实际上是整个 VPC 环境)是通过 CloudFormation 创建的。
API 需要使用 Authorization
header ,这是我无法更改的。该 header 的内容是我们公司特有的内容,而不是标准内容。问题是,当我向请求添加 Authorization
header 时,API Gateway 会拒绝该请求,并显示以下错误(来自 CloudWatch 中的 API Gateway 日志):
IncompleteSignatureException
Authorization header requires 'Credential' parameter.
Authorization header requires 'Signature' parameter.
Authorization header requires 'SignedHeaders' parameter.
Authorization header requires existence of either a 'X-Amz-Date' or a 'Date' header.
Authorization=[the header content here]
如果我删除 Authorization
header ,请求就会被接受,并且我会从 lambda 获得预期的响应。我调用的方法将 Auth 设置为 NONE。
奇怪的是,如果我删除 VPC 端点并通过控制台手动创建它,它会正常工作 - Authorization
header 会传递到我的 lambda,而不是 API 网关检查和拒绝它。
我已经多次手动和使用 CloudFormation 拆除端点并重新创建它,结果是一致的。但我将它们相互比较后发现它们看起来完全一样:相同的设置、相同的子网、相同的安全组、相同的策略。由于我看不出它们之间有什么区别,所以我有点不明白为什么它不适用于 CloudFormation 版本。
我能够找到的唯一区别在于每个版本的 aws header (删除了 Authorization
header ,否则它无法使用 CF 端点记录 header )。对于 CF 端点, header 包括 x-amzn-vpce-config=0
和 x-amzn-vpce-policy-url=MQ==
。通过手动端点,我得到x-amzn-vpce-config=1
,并且不包含policy-url header 。
我还尝试更改 API 以设置和删除 VPC 端点(可以在“设置”部分中的 API 上设置),并重新部署它,但在任何一种情况下都没有效果 - 请求继续工作/像以前一样被拒绝。
有人有什么想法吗?我已将其发布在AWS forum上同样,但以防万一这里有人以前遇到过这个......
如果有任何兴趣,可以像这样创建端点([]
= 已编辑):
ApiGatewayVPCEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
PrivateDnsEnabled: true
PolicyDocument:
Statement:
- Action: '*'
Effect: Allow
Resource: '*'
Principal: '*'
ServiceName: !Sub com.amazonaws.${AWS::Region}.execute-api
SecurityGroupIds:
- !Ref [my sec group]
SubnetIds:
- !Ref [subnet a]
- !Ref [subnet b]
- !Ref [subnet c]
VpcEndpointType: Interface
VpcId: !Ref [my vpc]
最佳答案
我已经设法让它工作了,这是最荒谬的事情。
这是 CF 中的端点策略(包括在上下文中显示的属性名称):
PolicyDocument:
Statement:
- Action: '*'
Effect: Allow
Resource: '*'
Principal: '*'
该策略在控制台中的显示方式如下:
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}
这就是策略在 describe-vpc-endpoints
中的显示方式:
"PolicyDocument": "{\"Statement\":[{\"Action\":\"*\",\"Resource\":\"*\",\"Effect\":\"Allow\",\"Principal\":\"*\"}]}"
现在让我们看看手动创建的端点的策略。
控制台:
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}
描述-vpc-端点
:
"PolicyDocument": "{\n \"Statement\": [\n {\n \"Action\": \"*\", \n \"Effect\": \"Allow\", \n \"Principal\": \"*\", \n \"Resource\": \"*\"\n }\n ]\n}"
控制台显示它们完全相同,并且在 describe-vpc-endpoints
中返回的 JSON 本身是相同的,除了一些“漂亮的”换行符和空格,这肯定不会有任何影响吗?错误的!正是这些换行符使该策略真正发挥作用!
无论如何,解决方案是以 JSON 形式提供策略,例如:
ApiGatewayVPCEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
PrivateDnsEnabled: true
PolicyDocument: '
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}'
ServiceName: !Sub com.amazonaws.${AWS::Region}.execute-api
SecurityGroupIds:
- !Ref [my sec group]
SubnetIds:
- !Ref [subnet a]
- !Ref [subnet b]
- !Ref [subnet c]
VpcEndpointType: Interface
VpcId: !Ref [my vpc]
您甚至可以将所有 JSON 放在一行中,它会在某个时候获取 AWS 放入其中的换行符。只是 YAML 在没有换行符的情况下转换为 JSON 并导致了此问题。
有了这样的 CF 资源,API Gateway 就会接受我的 Authorization
header ,并将其传递给 Lambda,不会出现任何问题。
关于amazon-web-services - API Gateway 在不应该关心我的 Authorization header 时关心它,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69584484/
我在让“@header”或任何其他@规则在ANTLR中工作时遇到麻烦。具有非常基本的语法,如下所示: grammar test; options { language = CSharp2;
我对来源和寄宿有疑问 我有一个ajax页面“Page A”,它将称为ajax提要“Page B” 我看到来自ajax调用的“页面B”的请求 header 具有源“http://mydomain.com
我在 pandas 中使用了数据透视表并获得了所需的数据框格式,但现在我有两行标题。数据透视表后的结果数据框如下: scenario Actual Plan
我在 pandas 中使用了数据透视表并获得了所需的数据框格式,但现在我有两行标题。数据透视表后的结果数据框如下: scenario Actual Plan
我想在主机将它们发送到网络之前修改数据包头(IP 头、TCP 头)。 例如,如果我使用 firefox 进行浏览,那么我想拦截所有来自 firefox 的数据包并修改 IP/TCP header ,然
我的 header 内容被包装到#header 中,但是当我设置边框显示结构时,它显示我的#header 的内容出现在#header 本身之后。可能是什么问题?这是我的代码: #header { bo
我是一名 Web 开发人员,使用过 PHP 和 .NET。有一年多的 Web 工作经验,我一直无法彻底了解浏览器缓存功能,希望这里的 Web Gurus 可以帮助我。我心中的问题是: 浏览器实际上是如
伙计们,我有一个问题,我不知道如何在一个 header 中连接多个 header ,我们称它为“主 header ”并使用该 header 中的函数,例如 // A.h #include class
我有一个包含 SOAP 消息的 XMLHTTPRequest。 我想添加用于标识消息并将由 C# Web 服务使用的 guid。 GUID 的目标是识别特定用户,并应护送所有用户请求以在服务器上进行身
我一直在阅读粘性标题,这是我目前所发现的。第一个粘性 header 效果很好,但是当它遇到第一个 header 时,我如何向上滚动第一个 header 并使第二个 header 卡住? http://
我想将当前基于 TableView 的数据网格转换为新的 UICollectionView 类。 这就是我当前的网格的样子: 我的网格有两个标题: 年份(2006a、2007a 等)和 类型(“收入”
我目前正在使用 Apollo 服务器。我正在尝试在响应 header 中设置一个属性。并且此属性是从客户端 graphQL 请求 header 中检索的。 我在网上查了一下。并看到了诸如使用插件或扩展
我的 Controller 的方法需要设置一个标题,例如X-Authorization .创建新对象( store Action )后,我执行转发以显示新创建的对象( show Action ): $
我正在研究一些关于 VLAN 的事情,发现了 VLAN 标签 和 header 。 如果我们有标准 802.3 以太网帧 的 MTU(1518 字节), header 802.3 中包含什么? 另外,
我是放心和 Java 的新手,我正在尝试做一个非常基本的测试来检查 API 的响应是否为 200 ok。 谁能告诉我我需要在下面的脚本中更改什么才能传递多个 header Id、Key 和 ConId
在我的项目中,我需要知道 zlib header 是什么样的。我听说它相当简单,但我找不到 zlib header 的任何描述。 例如,它是否包含魔数(Magic Number)? 最佳答案 zlib
我正在使用 JMeter 测试 HTTP 服务器,该服务器接受并验证 APIKey 并在成功时返回一个有时限的 token 。如果我有 token ,我想发送一个 token ;如果没有,我想发送一个
以太网 header 是什么样的? 是吗: 1|2|3|4|5|6|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25|26|27|28|29|
我们的应用程序支持 CORS 配置 header 。我在两个不同的主机上分别配置了 testApp。两种设置都相互独立工作。host1 上的应用程序配置有 CORS header Access-Con
tlhelp32.h 不包含 windows.h 本身是有原因的吗?我一直在与大量的编译器错误作斗争,因为我在包含 tlhelp32.h 之后包含了 windows.h。这是设计决定还是出于什么原因?
我是一名优秀的程序员,十分优秀!