如何通过CloudFormation授予API Gateway调用lambda函数的权限?

时间:2016-10-06 20:41:19

标签: amazon-web-services aws-lambda aws-api-gateway amazon-cloudformation

我一直在网上寻找答案。

基本上,我们使用Swagger重新启动API,这很棒且效果很好,但有一点不起作用......当我们调用Endpoint时,我们得到500错误(它不是我们提供的任何来自AWS的500错误)。错误状态"由于配置错误导致执行失败:Lambda函数的权限无效" (https://youtu.be/H4LM_jw5zzs< - 这是来自其他用户的视频,其中包含错误。

我已经走了很多家伙,并找到了答案......它涉及使用AWS CLI,看起来有点像这样:

aws lambda add-permission \
--function-name FUNCTION_NAME \
--statement-id STATEMENT_ID \
--action lambda:InvokeFunction \
--principal apigateway.amazonaws.com \
--source-arn "arn:aws:execute-api:us-east-1:ACCOUNT_ID:API_ID/*/METHOD/ENDPOINT"

这很棒,但我们正在使用CloudFormation来启动所有内容,我们希望将其自动化。有没有更简单的方法来解决这个问题? CloudFormation中是否有某些内容可以为我们提供所需的资源政策?

我用这个打了一个墙,但我今天已经在这上面工作了几个小时,它对我们的API版本来说有点阻碍,所以任何帮助非常感谢。 :)

3 个答案:

答案 0 :(得分:16)

此问题有一个CloudFormation解决方案。请参阅以下CloudFormation代码段:

"Permission": {
    "Type": "AWS::Lambda::Permission",
    "Properties": {
        "FunctionName": { "Fn::GetAtt": [ "Lambda", "Arn" ] },
        "Action": "lambda:InvokeFunction",
        "Principal": "apigateway.amazonaws.com",
        "SourceArn": { "Fn::Join": [ "", [
            "arn:aws:execute-api:",
            { "Ref": "AWS::Region" }, ":",
            { "Ref": "AWS::AccountId" }, ":",
            { "Ref": "API" },
            "/*/*/*"
        ] ] }
    }
}

授予API Gateway权限以启动Lambda功能。您需要更改此代码段中的变量为Lambda(第4行)和API(第11行)。

答案 1 :(得分:2)

感谢 https://twitter.com/edjgeek 帮我理清头绪。

此 GIST 展示了如何使用 AWS::Serverless:Function 与事件自动生成所需的 AWS::Lambda::Permission 以允许 APIGateway(对于给定路由)调用您的 Lambda:

https://gist.github.com/rainabba/68df1567cbd0c4930d428c8953dc2316

以下两种方法都假设一个 api,例如(为了可读性省略了许多字段):

  MyApi:
    Type: 'AWS::Serverless::Api'
    Properties:
      DefinitionBody:
        Fn::Transform:
          Name: AWS::Include
          Parameters:
            Location: openapi.yaml

使用“SAM 事件”

最相关的部分(我省略了许多必填字段):

  MyLambdaFunction:
    Type: 'AWS::Serverless::Function'
    Properties:
      Events:
        MyRouteEventToProxy:
          Type: Api
          Properties:
            Method: POST
            Path: '/some-route/{pathParm}'
            RestApiId: !Ref MyApi # ResourceName of AWS::Serverless::Api
            Auth:
              Authorizer: NONE

使用“openapi 绑定”

如果您更愿意在 openapi.yaml 中声明绑定,请参阅以下项目(不需要 Lambda/事件)。这种方法需要一个显式角色来允许调用。

template.yaml 相关位:

  MyLambdaFunction:
    Type: 'AWS::Serverless::Function'
    Properties:
      # Events: # No need for Events when binding from openapi.yaml
  MyHttpApiRole:
    Type: "AWS::IAM::Role"
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: "Allow"
            Principal:
              Service: "apigateway.amazonaws.com"
            Action: 
              - "sts:AssumeRole"

openapi.yaml 相关位:

paths:
  post:
      x-amazon-apigateway-integration:
        httpMethod: POST
        uri:
          Fn::Sub: "arn:aws:apigateway:${AWS::Region}:lambda:path/2015-03-31/functions/${MyLambdaFunction.Arn}:live/invocations"
        contentHandling: "CONVERT_TO_TEXT"
        type: aws_proxy
        credentials:
          Fn::GetAtt: [MyHttpApiRole, Arn]

https://github.com/aws-samples/sessions-with-aws-sam/tree/master/http-api-direct-integration

答案 2 :(得分:1)

对于调用权限:

    "APIInvokePermission": {
  "Type": "AWS::Lambda::Permission",
  "Properties": {
    "FunctionName": {
      "Ref": "YOUR_LAMBDA_FUNCTION_RESOURCE_NAME"
    },
    "Action": "lambda:InvokeFunction",
    "Principal": "apigateway.amazonaws.com",
    "SourceArn": {
      "Fn::Sub": "arn:aws:execute-api:${AWS::Region}:${AWS::AccountId}:${YOUR_REST_API_RESOURCE_NAME}/*/*/*"
    }
  }
},
相关问题
最新问题