AWS AppSync Lambda 授权方

Question

我刚刚在 AWS AppSync 中实现了一个 lambda 解析器。 lambda 和 AppSync 存在于不同的项目中； 提供函数的模板将函数 ARN 写入 SSM，构建 AppSync 的模板会拉取该 SSM 参数并将该 ARN 分配给AdditionalAuthenticationProvider 。

部署过程同步进行； Lambda（创建身份验证函数，将 ARN 设置为 SSM 参数）-> AppSync（创建 API，检索 SSM 参数并分配给授权提供程序）。 当我检查控制台时，我可以看到正确的函数 ARN 被分配为 AppSync 的身份验证提供程序。

问题：当我发出请求时，从未调用 lambda，我可以检查 CloudWatch 并验证没有调用 - 我只是遇到了响应。

{
  "errors" : [ {
    "errorType" : "BadRequestException"
  } ]
}

如果我没有为authorization标头提供值，则会得到401 - 这是 lambda 授权指令的预期行为，在继续执行该功能之前拒绝该标头中没有值的任何请求。 因此，它会出现一些不正确的管道连接，缺少的东西，我不能在一个文档找到允许调用。

问题：如果我进入控制台并手动分配相同的功能 ARN，一切正常并保持正常工作。 似乎控制台在幕后做了一些我的部署没有做的事情，但我似乎无法正确识别缺少的内容。

我一直在关注这个文档https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html#aws-lambda-authorization一个注释让我停顿 - 我已经设置了这些信任权限， AFAIK。

用于授权的 Lambda 函数需要对它们应用 appsync.amazonaws.com 的委托人策略，以允许 AWS AppSync 调用它们。 此操作在 AWS AppSync 控制台中自动完成

这是 SAM 模板（没有输入参数）

Resources:
  ServiceRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Statement:
          - Effect: Allow
            Principal:
              Service: [ lambda.amazonaws.com, appsync.amazonaws.com ]
            Action: sts:AssumeRole
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole
        - arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
      Policies:
        - PolicyName: logs
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - logs:CreateLogGroup
                  - logs:CreateLogStream
                  - logs:PutLogEvents
                Resource: "*"
              - Effect: Allow
                Action:
                  - xray:*
                Resource: "*"
        - PolicyName: ssm
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action: ssm:*
                Resource: "*"

  LambdaPermission:
    Type: AWS::Lambda::Permission
    Properties:
      FunctionName: !Ref AuthorizationFunction
      Action: lambda:Invoke
      Principal: appsync.amazonaws.com
      
  AuthorizationFunction:
    Type: AWS::Serverless::Function
    Properties:
      CodeUri: <code-uri>
      Handler: app.lambda
      Runtime: nodejs14.x
      Role: !GetAtt ServiceRole.Arn
      Tracing: Active

  FunctionARNParameter:
    Type: AWS::SSM::Parameter
    Properties:
      Type: String
      Name: <name>
      Value: !GetAtt AuthorizationFunction.Arn

Answer 1

也许把它写出来我的问题正是我所需要的。 我尝试的最后一件事是， LambdaPermission是关键 - 但操作不正确，需要是InvokeFunction 。 我还选择将FunctionName指定为 lambda ARN 而不是名称

LambdaPermission:
    Type: AWS::Lambda::Permission
    Properties:
      FunctionName: !GetAtt PPSAuthorizationFunction.Arn 
      Action: lambda: InvokeFunction # <--
      Principal: appsync.amazonaws.com

希望这对某人有用！