node.js - AWS_IAM通过ApiGateway从弹性beanstalk调用Lambda调用

我正在努力争取aws权限......

TL / DR：我有一个弹性beanstalk服务器，需要调用隐藏在Api网关后面的lambda函数。只要我不在ApiGateway上实现auth，它就能正常工作。

我做了什么：
- 添加＆＃34; AWS_IAM＆＃34;到＆＃34;方法请求＆＃34;适当的资源（＆＃34; / signS3＆＃34;在这里）和方法（在这里获取）
- 添加＆＃34; AmazonAPIGatewayInvokeFullAccess＆＃34;策略我的＆＃34; Elastic Beanstalk服务角色＆＃34;和我的＆＃34; Elastic Beanstalk实例配置文件＆＃34;
- 打电话给我的ApiGateway＆＃34;方法/资源＆＃34;使用nodejs https methods
  - 我得到了什么：＆＃34;缺少身份验证令牌＆＃34; ...
  - 它可能是什么？
- 也许我应该使用AWS-SDK调用ApiGateway来将角色与我的请求联系起来？但我在sdk文档中找不到合适的方法
- 我对我必须授予的策略犯了一个错误......但我不这么认为，我使用默认的AWS AmazonAPIGatewayInvokeFullAccess默认策略。

有什么想法吗？

==============

全文：

业务需求：我正在使用nodejs后端构建移动应用，我需要我的用户才能将文件上传到S3桶。
技术答案：使用S3预签名网址==＆gt;应用程序发送一些有关该文件的信息存储到我的后端，获取一些特定文件上传到S3的信息，并将其发送回我的应用程序，直接将文件上传到S3。在the following

不是问题，完全正常工作！是的！但是等等......

我推出安全帽并查看设置：移动应用程序的每个请求都转到服务器A（托管在Elastic Beanstalk上），这是我后端的入口点。那时，服务器A有一个带有AWS密钥的配置文件，用于配置AWS-SDK以访问S3。所以基本上，如果我的服务器由于某种原因而受到损害，我的安全密钥就会泄露。该怎么办？

我的回答是将请求委托给S3以获取AWS Lambda函数的预签名URL，该函数通过ApiGateway调用。然后，我的lambda函数 - 不暴露于互联网 - 必须妥协以泄露我的密钥。安全性得到了增强......很久以后，它就启动并运行了，我的应用程序请求也经历了这个过程。 很好，但仍然不完美：如果我不在我的ApiGateway方法中放置$％＃@ Auth，它就有效！

确实，这就是我的问题，我没有设法让AWS_IAM权限有效。 ==＆gt;看看TL / DR，看看我是如何尝试的。

AWS_IAM通过ApiGateway从弹性beanstalk调用Lambda调用

1 个答案: