amazon-dynamodb - DynamoDB w/Serverless，使用 Fn::GetRef 来引用全局二级索引-6ren

amazon-dynamodb - DynamoDB w/Serverless，使用 Fn::GetRef 来引用全局二级索引

转载作者：行者123 更新时间：2023-12-04 07:07:23

25

4

我有一个使用 DynamoDB 表定义的 API/服务。我有几个索引(定义为全局二级索引)来支持几个查询。我设计了带有 GSI 定义的表，以及看起来像正确查询的内容。但是，在进行查询时出现此异常:

{ AccessDeniedException: User: arn:aws:sts::OBSCURED:assumed-role/chatroom-application-dev-us-east-1-lambdaRole/chatroom-application-dev-getRoomMessages is not authorized to perform: dynamodb:Query on resource: arn:aws:dynamodb:us-east-1:OBSCURED:table/messages-table-dev/index/roomIndex
at Request.extractError (/var/task/node_modules/aws-sdk/lib/protocol/json.js:48:27)
at Request.callListeners (/var/task/node_modules/aws-sdk/lib/sequential_executor.js:105:20)
at Request.emit (/var/task/node_modules/aws-sdk/lib/sequential_executor.js:77:10)
at Request.emit (/var/task/node_modules/aws-sdk/lib/request.js:683:14)
at Request.transition (/var/task/node_modules/aws-sdk/lib/request.js:22:10)
at AcceptorStateMachine.runTo (/var/task/node_modules/aws-sdk/lib/state_machine.js:14:12)
at /var/task/node_modules/aws-sdk/lib/state_machine.js:26:10
at Request.<anonymous> (/var/task/node_modules/aws-sdk/lib/request.js:38:9)
at Request.<anonymous> (/var/task/node_modules/aws-sdk/lib/request.js:685:12)
at Request.callListeners (/var/task/node_modules/aws-sdk/lib/sequential_executor.js:115:18)
message: 'User: arn:aws:sts::OBSCURED:assumed-role/chatroom-application-dev-us-east-1-lambdaRole/chatroom-application-dev-getRoomMessages is not authorized to perform: dynamodb:Query on resource: arn:aws:dynamodb:us-east-1:OBSCURED:table/messages-table-dev/index/roomIndex',
code: 'AccessDeniedException',
time: 2018-06-02T22:05:46.110Z,
requestId: 'OBSCURED',
statusCode: 400,
retryable: false,
retryDelay: 30.704899664776054 }

在异常的顶部，它说我的 getRoomMessages 方法的 ARN is not authorized to perform: dynamodb:Query on resource:并显示全局二级索引的 ARN。

似乎很清楚，我需要定义策略来授予访问全局二级索引的权限。但究竟是怎么做的还不是很清楚。我已经看到其他关于 DynamoDB 的 StackOverflow 问题提示文档碎片化以及找到任何东西是多么困难。我必须同意。 “碎片化”这个词说得太轻描淡写了。

我正在使用无服务器框架。 provider部分显示此策略/角色定义:

provider:
  name: aws
  runtime: nodejs8.10
  stage: dev
  region: us-east-1
  iamRoleStatements:
    - Effect: Allow
      Action:
        - dynamodb:Query
        - dynamodb:Scan
        - dynamodb:GetItem
        - dynamodb:PutItem
        - dynamodb:UpdateItem
        - dynamodb:DeleteItem
      Resource:
        - { "Fn::GetAtt": ["MessagesDynamoDBTable", "Arn" ] }
        - { "Fn::GetAtt": ["#roomIndex", "Arn" ] }
        - { "Fn::GetAtt": ["#userIndex", "Arn" ] }
  environment:
    MESSAGES_TABLE: ${self:custom.tableName}

在 Resource部分，我相信我应该列出声明权限的资源。第一个引用整个表格。我刚刚添加的最后两个，并引用了索引。

编辑:当我运行时 serverless deploy打印以下消息:

The CloudFormation template is invalid: Template error: instance of Fn::GetAtt references undefined resource #roomIndex

我为此尝试了几种变体，但得到了相同的错误。这归结为 - 我怎么办，在serverless.yml ，使用 Cloudfront 语法，获取索引的 ARN . ARN 确实存在，因为它显示在异常中。

DynamoDB 表定义:

resources:
  Resources:
    MessagesDynamoDBTable:
      Type: AWS::DynamoDB::Table
      Properties:
        AttributeDefinitions:
          - AttributeName: messageId
            AttributeType: S
          - AttributeName: room
            AttributeType: S
          - AttributeName: userId
            AttributeType: S
        KeySchema:
          - AttributeName: messageId
            KeyType: HASH
        GlobalSecondaryIndexes:
          - IndexName: roomIndex
            KeySchema:
              - AttributeName: room
                KeyType: HASH
            Projection:
              ProjectionType: ALL
            ProvisionedThroughput:
              ReadCapacityUnits: 1
              WriteCapacityUnits: 1
          - IndexName: userIndex
            KeySchema:
              - AttributeName: userId
                KeyType: HASH
            Projection:
              ProjectionType: ALL
            ProvisionedThroughput:
              ReadCapacityUnits: 1
              WriteCapacityUnits: 1
        ProvisionedThroughput:
          ReadCapacityUnits: 1
          WriteCapacityUnits: 1
        TableName: ${self:custom.tableName}

正在使用的查询对应于上述异常:

{
    "TableName": "messages-table-dev",
    "IndexName": "roomIndex",
    "KeyConditionExpression": "#roomIndex = :room",
    "ExpressionAttributeNames": {
        "#roomIndex": "room"
    },
    "ExpressionAttributeValues": {
        ":room": {
            "S": "everyone"
        }
    }
}

以及生成查询的 Lambda 函数代码片段:

app.get('/messages/room/:room', (req, res) => {
    const params = {
        TableName: MESSAGES_TABLE,
        IndexName: "roomIndex",
        KeyConditionExpression: '#roomIndex = :room',
        ExpressionAttributeNames: { '#roomIndex': 'room' },
        ExpressionAttributeValues: {
            ":room": { S: `${req.params.room}` }
        },
    };
    console.log(`QUERY ROOM ${JSON.stringify(params)}`);
    dynamoDb.query(params, (error, result) => {
        if (error) {
            console.log(error);
            res.status(400).json({ error: 'Could not get messages' });
        } else {
            res.json(result.Items);
        }
    });
});

最佳答案

我找到了比 jake.lang 发布的更好的答案。编辑:我没有看到他提出以下建议的第二条评论。

正如他所指出的，他是不正确的，因为 ARN 可以因正当理由而改变。但是，出现了解决方案是因为全局二级索引的 ARN 是将“/INDEXNAME”附加到表的 ARN。这意味着政策声明可以是:

iamRoleStatements:
  - Effect: Allow
    Action:
      - dynamodb:Query
      - dynamodb:Scan
      - dynamodb:GetItem
      - dynamodb:PutItem
      - dynamodb:UpdateItem
      - dynamodb:DeleteItem
    Resource:
      - { "Fn::GetAtt": ["MessagesDynamoDBTable", "Arn" ] }
      - { "Fn::Join": [ "/", [ 
          { "Fn::GetAtt": ["MessagesDynamoDBTable", "Arn" ] }, "index", "roomIndex" 
        ]]}
      - { "Fn::Join": [ "/", [
          { "Fn::GetAtt": ["MessagesDynamoDBTable", "Arn" ] }, "index", "userIndex" 
        ]]}

“Fn::Join”位来自 CloudFormation，是一个“加入”操作。它需要一个字符串数组，使用第一个参数连接它们。因此，计算此政策声明中所需的 ARN 是一种相当复杂且过于复杂的方法。

有关文档，请参阅: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-join.html

关于amazon-dynamodb - DynamoDB w/Serverless，使用 Fn::GetRef 来引用全局二级索引，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/50661792/

25

4

0

文章推荐： sql-server-2005 - SQL Server 2005 : Replication, 变量二进制

文章推荐： design-patterns - 数学 : Processing Fit Parameters

文章推荐： crystal-reports - 在参数上使用 LIKE 运算符

文章推荐： windows-phone-7 - 在 Windows Phone 中访问未接来电日志

javascript - "if (fn) fn()"或 "fn && fn()"
这个问题在这里已经有了答案: JavaScript idiom: !something && function() (5 个答案) 关闭 9 年前。我多次看到 fn && fn() 是对 if (
javascript - 如何在不执行的情况下使函数可链接？像 `obj.fn.fn` 而不是 `obj.fn().fn()`
我在一个对象中有两个函数 var obj = {}; obj.fn1 = function(){ console.log('obj.fn1'); return this; }; obj.fn2 = f
amazon-web-services - Cloudformation 模板中的组合 Fn::Select + Fn::Split + Fn:GetAtt
我正在尝试使用以下 cloudformation 堆栈，但我一直失败并出现以下错误: 模板错误:每个 Fn::Split 对象都需要两个参数，(1) 字符串分隔符和 (2) 要拆分的字符串或返回要拆分
javascript - TypeError : Cannot read property 'handle' of undefined --- if (fn. handle && fn.set) mount_app = fn
请在这方面提供一些帮助，我将不胜感激。不确定这意味着什么，因为这是我第一次使用 node 和 express。我将 express 设置为与 Node 一起使用，并尝试遵循网站 Express.js
javascript - fn.apply(fn, []) 是做什么的？
我有一段代码接受 fn 作为参数并将其存储在 object 属性中。 var obj = {}; function anotherFn(fn){ obj["name"] = fn.apply(f
javascript - IE8 `window.fn !== fn`
谁能解释一下？ IE8 ( function(){ window.foo = function foo(){}; console.log( window.foo === foo );
clojure - 什么是 fn*，它与 fn 有什么不同？
我查看了lazy-seq的来源，我发现了这个: Clojure 1.4.0 user=> (source lazy-seq) (defmacro lazy-seq "Takes a body of
javascript - $fn.insertAfter() 和 $fn.after() Jquery
我知道 $fn.insertAfter() 用于在作为参数提供的元素之后插入元素。 $fn.after() 与它有何不同？最佳答案 $.fn.after()help在您调用的目标元素之后插入一个元素
yaml - Fn::GetAZs + Fn::Select 不合作
所以我的网络模板中有这个 CloudFormation 资源: Resources: ... PubSubnetAz2: Type: AWS::EC2::Subnet
javascript - 调用函数时， "fn ()"与 "fn()"的处理方式不同吗？
有some conventions说到using brackets in JavaScript ，但是当使用方括号调用时，它们实际上会得到不同的对待吗？ fn () 是否与 fn() 有任何不同，人类
node.js - 如何在nodejs中设置clojurescript *print-fn* fn
我正在尝试将 clojurescript 编译为 Nodejs，我只是想使用 println 函数: (println "hello world") 但是，它给了我一个错误 No *print-fn
JS typeof fn === 'function' fn()详解
我在看别人代码的时候，有看到代码是这样写的 function(){ fn&&fn() } 大概意思是这么个意思，但是这我感觉这样写好像没意义，有带佬能指点一下吗
c++ - 你能用折叠表达式实现 fn(x1 ^ fn(x0)) 吗？
是否可以使用折叠表达式实现以下目的？ template auto foo(Args... args) { //calling foo(x0, x1, x2) should be exactly
rust - fn item 和 fn pointer 之间的实际区别是什么？
fn func(_: i64) -> bool { true } fn func_of_func(callback: &fn(i64) -> bool, arg: i64) -> bool {
javascript - 这条线是如何工作的 : obj ['e' +type+fn] = fn
我一直在到处寻找对此的解释。我知道，在 Javascript 中，您可以使用方括号表示法获取/设置对象的属性，但是当您在括号中使用“+”时会发生什么，如下所示: obj['e'+type+fn] =
yaml - Fn::Foreach 具有内部函数参数 | Fn::GetAZ |找不到集合
我正在尝试根据Fn::GetAZs'集合动态生成资源: AWSTemplateFormatVersion: '2010-09-09' Transform: 'AWS::LanguageExtensio
javascript - useEffect(fn, []) 中包装的代码与 useEffect(fn, []) 外部的代码有什么区别？
新的 React Hooks 功能很酷，但有时会让我感到困惑。特别是，我将此代码包装在 useEffect Hook 中: const compA = ({ num }) => { const [
javascript - fn.bind.apply(fn, arguments) 在做什么？
我看到这个快捷方式作为代码 Kata 的答案给出，但我很难理解下面的示例在做什么。 function func(fn) { return fn.bind.apply(fn, arguments);
c++ - 没有命名空间的 "namespace::fn"和 "::fn"有什么区别？
这个问题在这里已经有了答案: 关闭 10 年前。 Possible Duplicate: C++ namespace question 我见过几个没有命名空间的例子。这样做有什么好处？
javascript - 不明确的括号指令 "this.fn.bind(this)(super.fn(...args)"
所以在一个项目中，我找到了可以简化为的代码: export abstract class Logger { private static log(level: LogLevels, ...ar

首页

博学

6Ren·AI

商城

amazon-dynamodb - DynamoDB w/Serverless，使用 Fn::GetRef 来引用全局二级索引