个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我们有一个发电机表,用于应用程序的安全敏感部分,具有非常严格的读取访问限制(这里的目标是尽可能严格)。理想情况下,我们希望将该表的访问权限限制为具有匹配 cognito-userId 前导键的行(遵循以下方法: https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_dynamodb_rows.html )。不幸的是,我们的要求是 lambda 函数需要代表用户读取值,以便随后处理值并将其发送给用户(例如通过邮件)。
我们当前的设置如下所示:我们已经创建了具有前导键 IAM 条件的 IAM 规则,并将其附加到一个用户组,该用户组包括将访问该表的所有用户。到目前为止一切顺利,lambda 函数从上下文对象中获取规则并承担该角色(通过 sts:assumeRole,就像这样,它们都在同一个帐户中: https://aws.amazon.com/premiumsupport/knowledge-center/cognito-user-pool-group/ , https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role/ )
lambda 和假定的角色都有必要的策略,所以这也按预期工作。使用静态值进行测试,如下所示:
ForAllValues:StringEquals:
dynamodb:LeadingKeys:
- "SOMEKEY"
${cognito-identity.amazonaws.com:sub}作为前导 key 标识符,带有和不带有 aws-region 前缀。因此我的问题是,有没有人遇到过这种情况?此变量何时替换 IAM 规则?它是在传递给 lambda 函数之前被解析(在这种情况下我们希望该值被填充)还是在 lambda 访问发电机时被替换(在这种情况下它没有被解析,因为 lambda 而不是认知用户承担角色)?
最佳答案
${cognito-identity.amazonaws.com:sub} 正在从身份池中引用 Cognito 的身份 ID。因此,当您的应用程序使用身份池获取 AWS 临时凭证时,这些凭证将包含用户身份 ID。如果您的应用程序随后尝试从数据库中获取一行,则用户只能获取他们的行,即以他们的身份 ID 作为前导键的行。
因此,您可以使用 sts 代入角色,而不是在 lambda 函数中代入 IAM 角色,而是将 Cognito ID token 传递给您的 Lambda,然后将 ID token 传递给身份池以获取凭证。然后,SDK 可以使用这些凭据,并且向 Dynamo 发出的请求将使用 ${cognito-identity.amazonaws.com:sub}。
关于这种方法,需要提及的一件事是,从身份池获得的凭据有效期为一个小时,因此我相信实现缓存层以重用现有凭据是必要的,以避免在每次调用时从身份池请求新凭据。
希望有帮助。
关于amazon-web-services - Lambda 能否代入具有认知 userId 条件的 IAM 角色?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62538806/
24
4
0
可以使用 lambda 和函数创建有序对(Lisp 中的缺点),如 Use of lambda for cons/car/cdr definition in SICP 所示。 它也适用于 Python
我正在尝试从另一个调用一个 AWS lambda 并执行 lambda 链接。这样做的理由是 AWS 不提供来自同一个 S3 存储桶的多个触发器。 我创建了一个带有 s3 触发器的 lambda。第一
根据以下源代码,常规 lambda 似乎可以与扩展 lambda 互换。 fun main(args: Array) { val numbers = listOf(1, 2, 3) f
A Tutorial Introduction to the Lambda Calculus 本文介绍乘法函数 The multiplication of two numbers x and y ca
我想弄清楚如何为下面的表达式绘制语法树。首先,这究竟是如何表现的?看样子是以1和2为参数,如果n是 0,它只会返回 m . 另外,有人可以指出解析树的开始,还是一个例子?我一直找不到一个。 最佳答案
在 C++0x 中,我想知道 lambda 函数的类型是什么。具体来说: #include type1 foo(int x){ return [x](int y)->int{return x * y
我在其中一个职位发布中看到了这个问题,它询问什么是 lambda 函数以及它与高阶函数的关系。我已经知道如何使用 lambda 函数,但不太自信地解释它,所以我做了一点谷歌搜索,发现了这个:What
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它,visit the help center 。 已关
Evaluate (((lambda(x y) (lambda (x) (* x y))) 5 6) 10) in Scheme. 我不知道实际上该怎么做! ((lambda (x y) (+ x x
我正在处理 MyCustomType 的实例集合如下: fun runAll(vararg commands: MyCustomType){ commands.forEach { it.myM
Brian 在他对问题 "Are side effects a good thing?" 的论证中的前提很有趣: computers are von-Neumann machines that are
在 Common Lisp 中,如果我希望两个函数共享状态,我将按如下方式执行 let over lambda: (let ((state 1)) (defun inc-state () (in
Evaluate (((lambda(x y) (lambda (x) (* x y))) 5 6) 10) in Scheme. 我不知道实际上该怎么做! ((lambda (x y) (+ x x
作为lambda calculus wiki说: There are several possible ways to define the natural numbers in lambda cal
我有一个数据类,我需要初始化一些 List .我需要获取 JsonArray 的值(我使用的是 Gson)。 我做了这个函数: private fun arrayToList(data: JsonAr
((lambda () )) 的方案中是否有简写 例如,代替 ((lambda () (define x 1) (display x))) 我希望能够做类似的事情 (empty-lam
我在 Java library 中有以下方法: public void setColumnComparator(final int columnIndex, final Comparator colu
我正在研究一个函数来计算国际象棋游戏中棋子的有效移动。 white-pawn-move 函数有效。当我试图将其概括为任一玩家的棋子 (pawn-move) 时,我遇到了非法函数调用。我已经在 repl
考虑这段代码(在 GCC 和 MSVC 上编译): int main() { auto foo = [](auto p){ typedef decltype(p) p_t;
我正在阅读一个在 lambda 内部使用 lambda 的片段,然后我想通过创建一个虚拟函数来测试它,该函数从文件中读取然后返回最大和最小数字。 这是我想出来的 dummy = lambda path
我是一名优秀的程序员,十分优秀!