如何使用 SAM 模板 cloudformation 在不同的 aws 帐户中调用 lambda

Question

角色的 Cloudformation 片段

我正在使用 AWS lambda cloudformation 创建无服务器架构 model (SAM)。 我有两个 lambda - 前端 lambda 和后端 lambda。 The front lambda is in account A and backend lambda is in account B. The front end lambda renders static files from S3 for UI. 当它必须进行后端数据处理时，它应该在另一个 aws 帐户中调用后端 lambda。 我确实在这两个帐户中都有角色，并且也信任这两个帐户。 它仍然无法调用后端 lambda。 如何使用 cloudformation 模板调用后端 lambda。

Answer 1

后端：

您的后端 lambda 需要授予前端 lambda 调用它的权限：

  BackEndLambdaPermission:
    Type: AWS::Lambda::Permission
    Properties:
      Action: 'lambda:InvokeFunction'
      FunctionName: 
        Fn::GetAtt:
          - BackEndLambda
          - Arn
      Principal: <enter principal>
      SourceArn: <front end lambda arn is optional but recommended>

前端：

前端，您需要授予调用其他 function 的权限（这在 Serverless::Function 或 Iam::Role 的策略部分中，具体取决于您的 Z945F3FC449518A73BZF5F 的设置方式）

        - Effect: Allow
          Action:
            - 'lambda:InvokeFunction'
          Resource: "arn:aws:lambda:us-east-1:123456789012:function:function-name"

将 function arn 传递到Environment属性中的前端 lambda 中：

       Environment:
         Variables:
           BackEndFunctionArn:"arn:aws:lambda:us-east-1:123456789012:function:function-name"

从前端 lambda 的代码中调用后端 lambda（python 示例）：

def invoke_back_end(event):
    event = {"data": "Hello back end"}
    function_arn = os.environ.get("BackEndFunctionArn")
    client = boto3.client('lambda')
    # "RequestResponse" is a synchronous invocation. Use "Event" for async
    response = client.invoke(FunctionName=function_arn, Payload=json.dumps(event), InvocationType='RequestResponse')
    return response