gpt4 book ai didi

aws-lambda - SAM 模板 - 使用 Lambda Authorizer 和简单响应定义 HttpApi

转载 作者:行者123 更新时间:2023-12-05 00:44:04 26 4
gpt4 key购买 nike

问题描述

我在 SAM 中使用 API Gateway 创建了一个 Lambda 函数,然后进行了部署,并且它按预期工作。在 API Gateway 中,我使用了 HttpApi 而不是 REST API

然后,我想添加具有简单响应的 Lambda 授权方。因此,我按照 SAM 和 API Gateway 文档编写了下面的代码。

当我调用路由 items-list 时,它现在返回 401 Unauthorized,这是预期的。

但是,当我添加值为 "test-token-abc" 的 header myappauth 时,我收到 500 内部服务器错误 .

我检查了此页面,但似乎列出的所有步骤都正常 https://aws.amazon.com/premiumsupport/knowledge-center/api-gateway-http-lambda-integrations/

我按照以下说明启用了 API 网关的日志记录:https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-logging.html

但我得到的只是这样的东西(编辑了我的 IP 和请求 ID):

[MY-IP] - - [07/Jul/2021:08:24:06 +0000] "GET GET/items-list/{userNumber} HTTP/1.1"500 35 [REQUEST-ID]

(也许我可以配置记录器,使其打印更有意义的错误消息?编辑:我尝试将 $context.authorizer.error 添加到日志中,但它没有不打印任何特定的错误消息,仅打印破折号:-)

我还检查了 Lambda 函数的日志,那里没有任何内容(所有日志都是从我添加授权者之前开始的)。那么,我做错了什么?

我尝试过的:

这是我使用 sam deploy 部署的 Lambda Authorizer 函数,当我使用 eventmyappauth 单独测试它时标题,它有效:

exports.authorizer = async (event) => {
let response = {
"isAuthorized": false,
};

if (event.headers.myappauth === "test-token-abc") {
response = {
"isAuthorized": true,
};
}

return response;

};

这是我使用 sam deploy 部署的 SAM template.yml:

AWSTemplateFormatVersion: 2010-09-09
Description: >-
myapp-v1

Transform:
- AWS::Serverless-2016-10-31

Globals:
Function:
Runtime: nodejs14.x
MemorySize: 128
Timeout: 100
Environment:
Variables:
MYAPP_TOKEN: "test-token-abc"

Resources:
MyAppAPi:
Type: AWS::Serverless::HttpApi
Properties:
FailOnWarnings: true
Auth:
Authorizers:
MyAppLambdaAuthorizer:
AuthorizerPayloadFormatVersion: "2.0"
EnableSimpleResponses: true
FunctionArn: !GetAtt authorizerFunction.Arn
FunctionInvokeRole: !GetAtt authorizerFunctionRole.Arn
Identity:
Headers:
- myappauth
DefaultAuthorizer: MyAppLambdaAuthorizer

itemsListFunction:
Type: AWS::Serverless::Function
Properties:
Handler: src/handlers/v1-handlers.itemsList
Description: A Lambda function that returns a list of items.
Policies:
- AWSLambdaBasicExecutionRole
Events:
Api:
Type: HttpApi
Properties:
Path: /items-list/{userNumber}
Method: get
ApiId: MyAppAPi

authorizerFunction:
Type: AWS::Serverless::Function
Properties:
Handler: src/handlers/v1-handlers.authorizer
Description: A Lambda function that authorizes requests.
Policies:
- AWSLambdaBasicExecutionRole

编辑:

用户 @petey 建议我尝试在授权者函数中返回 IAM 策略,因此我在 template.yml 中将 EnableSimpleResponses 更改为 false >,然后我按如下方式更改了函数,但得到了相同的结果:

exports.authorizer = async (event) => {
let response = {
"principalId": "my-user",
"policyDocument": {
"Version": "2012-10-17",
"Statement": [{
"Action": "execute-api:Invoke",
"Effect": "Deny",
"Resource": event.routeArn
}]
}
};

if (event.headers.myappauth == "test-token-abc") {
response = {
"principalId": "my-user",
"policyDocument": {
"Version": "2012-10-17",
"Statement": [{
"Action": "execute-api:Invoke",
"Effect": "Allow",
"Resource": event.routeArn
}]
}
};
}

return response;

};

最佳答案

我要回答我自己的问题,因为我已经解决了这个问题,我希望这能帮助那些将要在 API Gateway 中使用新的“HTTP API”格式的人,因为没有太多教程还在那里;您在网上找到的大多数示例都是针对较旧的 API 网关标准,亚马逊将其称为“REST API”。 (如果你想知道两者之间的区别,see here)。

主要问题在于example that is presented in the official documentation 。他们有:

  MyLambdaRequestAuthorizer:
FunctionArn: !GetAtt MyAuthFunction.Arn
FunctionInvokeRole: !GetAtt MyAuthFunctionRole.Arn

问题在于,该模板将创建一个名为 MyAuthFunctionRole 的新角色,但该角色不会附加所有必要的策略!

我在官方文档中错过的关键部分是this paragraph :

You must grant API Gateway permission to invoke the Lambda function by using either the function's resource policy or an IAM role. For this example, we update the resource policy for the function so that it grants API Gateway permission to invoke our Lambda function.

The following command grants API Gateway permission to invoke your Lambda function. If API Gateway doesn't have permission to invoke your function, clients receive a 500 Internal Server Error.

解决此问题的最佳方法是在 Resources 下的 SAM template.yml 中实际包含角色定义:

MyAuthFunctionRole
Type: AWS::IAM::Role
Properties:
# [... other properties...]
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
Service:
- apigateway.amazonaws.com
Action:
- 'sts:AssumeRole'
Policies:
# here you will put the InvokeFunction policy, for example:
- PolicyName: MyPolicy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action: 'lambda:InvokeFunction'
Resource: !GetAtt MyAuthFunction.Arn

您可以在此处查看有关角色的各种属性的描述:https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html

解决此问题的另一种方法是在 AWS 控制台中单独创建一个具有 InvokeFunction 权限的新策略,然后在部署后将该策略附加到 MyAuthFunctionRole SAM 创建的。现在授权者将按预期工作。

另一种策略是预先创建一个新角色,该角色具有具有 InvokeFunction 权限的策略,然后将该角色的 arn 复制并粘贴到 SAM template.yml:

MyLambdaRequestAuthorizer:
FunctionArn: !GetAtt MyAuthFunction.Arn
FunctionInvokeRole: arn:aws:iam::[...]

关于aws-lambda - SAM 模板 - 使用 Lambda Authorizer 和简单响应定义 HttpApi,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68282846/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com