如何在我的 lambda 代码中使用 AWS Custom Authorizer 中生成的权限?
How can I use permissions generated in AWS Custom Authorizer in my lambda code?
我想生成一个自定义策略,为 AWS 自定义授权方中的 DynamoDB 表提供 fine grained access。这可能吗?
在无服务器中,我的配置如下所示:
functions:
APIAuthorizer:
handler: src/services/auth/handlers.apiAuthorizer
cors: true
GraphQLAPI:
handler: src/services/graphql/handlers.apiHandler
events:
- http:
path: "/api"
method: post
cors: true
authorizer:
name: APIAuthorizer
type: request
resultTtlInSeconds: 0
我已验证我的自定义授权方正在调用,并且它生成的各种权限(sts:AssumeRole、lambda:InvokeFunction、execute-api:Invoke 和其他)是成功调用所必需的API 处理程序。所以我的自定义授权器正在工作,它提供的结果是必要的。
但是,当授权方包含 dynamodb 权限时,例如,像这样的语句
{ 效果:"Allow",动作:"dynamodb:","Resource":“”}
我的 API 处理程序(GraphQLAPI 函数)失败并显示类似
的消息
User: arn:aws:sts::<myaccountid>:assumed-role/<mydefaultrole>/myservice-mystage-GraphQLAPI is not authorized to perform: dynamodb:Query on resource: arn:aws:dynamodb:us-east-1:<myaccountId>:table/<mytable>/index/<someIndex>
(我注意到投诉是关于索引权限的,所以也尝试为该索引添加特定权限 and/or 所有索引,但这没有效果。)
经过多次不同的尝试,底线是完全忽略了自定义授权方颁发的 dynamodb 权限。我的 lambda node.js 代码正在使用 AWS 节点 SDK,它应该从实例环境中获取权限。我假设这将包括自定义授权方生成的权限。
最后,我注意到 AWS javascript SDK documentation on how credentials are loaded 只写了 "The execution role provides the Lambda function with the credentials it needs to run and to invoke other web services"。即,它没有提及自定义授权方颁发的动态生成的凭据。
这似乎可以解释我所看到的行为。我的 API 处理程序仅具有来自静态定义的执行角色的权限(错误消息也表明了这一点),并且未被授予自定义授权方生成的权限。
是否可以使用我的自定义授权方在我的 API 处理程序中生成的权限?
我认为您误解了 Lambda 授权方的 IAM 策略输出。授权方的 IAM 策略输出的目的是反映 API 网关在继续处理请求方面的结果。
返回的策略不一定应用于被调用的函数,而是应用于函数的调用。它只是告诉 API 网关请求用户有权访问哪个 API。
如果您希望为正在调用的 API 函数提供对 DynamoDB 表或任何其他 AWS 资源等资源的特定访问权限,则必须在分配给 Lambda 函数的角色中配置这些资源。否则,您可以指定一个角色,要调用的 Lambda 函数将假定该角色授予它额外的权限。这个角色可以通过授权者的上下文参数传递。
我想生成一个自定义策略,为 AWS 自定义授权方中的 DynamoDB 表提供 fine grained access。这可能吗?
在无服务器中,我的配置如下所示:
functions:
APIAuthorizer:
handler: src/services/auth/handlers.apiAuthorizer
cors: true
GraphQLAPI:
handler: src/services/graphql/handlers.apiHandler
events:
- http:
path: "/api"
method: post
cors: true
authorizer:
name: APIAuthorizer
type: request
resultTtlInSeconds: 0
我已验证我的自定义授权方正在调用,并且它生成的各种权限(sts:AssumeRole、lambda:InvokeFunction、execute-api:Invoke 和其他)是成功调用所必需的API 处理程序。所以我的自定义授权器正在工作,它提供的结果是必要的。
但是,当授权方包含 dynamodb 权限时,例如,像这样的语句 { 效果:"Allow",动作:"dynamodb:","Resource":“”}
我的 API 处理程序(GraphQLAPI 函数)失败并显示类似
的消息User: arn:aws:sts::<myaccountid>:assumed-role/<mydefaultrole>/myservice-mystage-GraphQLAPI is not authorized to perform: dynamodb:Query on resource: arn:aws:dynamodb:us-east-1:<myaccountId>:table/<mytable>/index/<someIndex>
(我注意到投诉是关于索引权限的,所以也尝试为该索引添加特定权限 and/or 所有索引,但这没有效果。)
经过多次不同的尝试,底线是完全忽略了自定义授权方颁发的 dynamodb 权限。我的 lambda node.js 代码正在使用 AWS 节点 SDK,它应该从实例环境中获取权限。我假设这将包括自定义授权方生成的权限。
最后,我注意到 AWS javascript SDK documentation on how credentials are loaded 只写了 "The execution role provides the Lambda function with the credentials it needs to run and to invoke other web services"。即,它没有提及自定义授权方颁发的动态生成的凭据。
这似乎可以解释我所看到的行为。我的 API 处理程序仅具有来自静态定义的执行角色的权限(错误消息也表明了这一点),并且未被授予自定义授权方生成的权限。
是否可以使用我的自定义授权方在我的 API 处理程序中生成的权限?
我认为您误解了 Lambda 授权方的 IAM 策略输出。授权方的 IAM 策略输出的目的是反映 API 网关在继续处理请求方面的结果。
返回的策略不一定应用于被调用的函数,而是应用于函数的调用。它只是告诉 API 网关请求用户有权访问哪个 API。
如果您希望为正在调用的 API 函数提供对 DynamoDB 表或任何其他 AWS 资源等资源的特定访问权限,则必须在分配给 Lambda 函数的角色中配置这些资源。否则,您可以指定一个角色,要调用的 Lambda 函数将假定该角色授予它额外的权限。这个角色可以通过授权者的上下文参数传递。